关于 Windows 10 Version 1607 的内核态扩展代码（内核驱动）签名新策略

关于 Windows 10 Version 1607 的内核态扩展代码（内核驱动）签名新策略imbushuo1 年前

去年 Windows 10 发布时，驱动有一个签名策略的变更 (真的有几个人注意到了吗)，但是也正如官方所说的种种原因，没能如期实施。前两天巨硬发了一个文章（如果不是朋友提醒我，我根本没注意到），关于新的驱动签名策略的。

简单地说，全新安装的，在 Secure Boot 打开的情况下，Windows 基本上只会接受由微软签名的驱动（其他驱动一概不认，不能安装不能启动），但是有一个例外是一些老驱动。如果你想知道你有没有受到影响，看下面：

• 没有打开安全启动
  
  • 跟你无关，一切照旧
    
• 打开了安全启动
  
  • 升级到 1607: 没有影响，一切照旧
  • 全新安装
    
    • 驱动签署日期早于 2015/7/29: 没有问题，可以安装，可以使用
    • 驱动签署日期晚于 2015/7/29
      
      • 常规驱动将会被拒绝安装和使用
      • 启动相关驱动不会被拒绝使用，但是会被程序兼容性助手删除
      • 未来的 Windows 10 将彻底封死此类驱动的使用
        

能让微软签署你的驱动的条件是

• 从微软承认的五家 CA 里申请 EV 代码签名证书
  
  • 这一般需要你拥有一家公司，或者你是某个公司的雇员，你们公司已经申请了
    
• 去 Windows Hardware Portal 注册账户，和 App 开发者账户类似，签署一个示例 exe 文件来证明你拥有 EV 代码签名证书
• 和微软签订书面保证协议
• 在本地运行 HLK/WHQL 测试，在提交驱动时提交 WHQL 测试结果
• 只有所有 WHQL 测试通过了才能签署
  

满足了以上情况，微软就会签署你的证书。

我装了一个全新安装的 Windows 10 Version 1607 来测试了一下在安全启动打开时的情况。

然后我知道 IDM(Internet Download Manager) 有内核驱动用于浏览器监视，签署于今年：

可以看到签署日期是今年五月十七日，由 Symantec 旗下的 VeriSign 签署。（不是微软）

尝试安装 inf 文件，出现了正常的复制文件窗口，然后……

标准结局。（喂喂，快把这个人拖走）

回到正题，这件事情对各种人的影响如何呢……

• 一般终端用户：相对来说电脑变得安全一点了（话不能说绝），特别是喜欢下载些不明软件的
  
  • 不要指望这个能干掉 360 什么的，你觉得这些公司弄个 EV 证书很难吗
    
• 高级用户/玩家：安装测试版驱动（特别是显卡，AMD 我在说你）变得稍微麻烦了一些，当然关闭安全启动也就可以了。这些用户一般知道他们自己在干什么
  
  • 需要说明一点，现在有一些电脑是不提供关闭安全启动的选项的，或是提供 UEFI CSM 模式，但是纯 UEFI 下没有关闭安全启动的办法。
    
• 独立开发者：编写驱动并分发变得困难了一些，除非你拥有一家公司并通过 EV 认证，然后才可以让微软签署驱动
• 传统内核扩展开发者：在测试环境跑一遍 HLK(WHQL)，像提交 App 一样把驱动和 WHQL 报告提交给微软来签署证书并分发，具体看这里
• Rootkit 制造者：我说不好，也许要思考别的 bypass 方案？
  

也不算是坏事吧，至少对于小白来说电脑安全了一些些，至于别的影响，we will see.
————转载 微软信仰中心