快捷导航

关于 Windows 10 Version 1607 的内核态扩展代码(内核驱动)签名新策略imbushuo1 年前


去年 Windows 10 发布时,驱动有一个签名策略的变更 (真的有几个人注意到了吗),但是也正如官方所说的种种原因,没能如期实施。前两天巨硬发了一个文章(如果不是朋友提醒我,我根本没注意到),关于新的驱动签名策略的。
简单地说,全新安装的,在 Secure Boot 打开的情况下,Windows 基本上只会接受由微软签名的驱动(其他驱动一概不认,不能安装不能启动),但是有一个例外是一些老驱动。如果你想知道你有没有受到影响,看下面:
  • 没有打开安全启动
    • 跟你无关,一切照旧
  • 打开了安全启动
    • 升级到 1607: 没有影响,一切照旧
    • 全新安装
      • 驱动签署日期早于 2015/7/29: 没有问题,可以安装,可以使用
      • 驱动签署日期晚于 2015/7/29
        • 常规驱动将会被拒绝安装和使用
        • 启动相关驱动不会被拒绝使用,但是会被程序兼容性助手删除
        • 未来的 Windows 10 将彻底封死此类驱动的使用
能让微软签署你的驱动的条件是
  • 从微软承认的五家 CA 里申请 EV 代码签名证书
    • 这一般需要你拥有一家公司,或者你是某个公司的雇员,你们公司已经申请了
  • 去 Windows Hardware Portal 注册账户,和 App 开发者账户类似,签署一个示例 exe 文件来证明你拥有 EV 代码签名证书
  • 和微软签订书面保证协议
  • 在本地运行 HLK/WHQL 测试,在提交驱动时提交 WHQL 测试结果
  • 只有所有 WHQL 测试通过了才能签署
满足了以上情况,微软就会签署你的证书。
我装了一个全新安装的 Windows 10 Version 1607 来测试了一下在安全启动打开时的情况。

然后我知道 IDM(Internet Download Manager) 有内核驱动用于浏览器监视,签署于今年:

可以看到签署日期是今年五月十七日,由 Symantec 旗下的 VeriSign 签署。(不是微软)
尝试安装 inf 文件,出现了正常的复制文件窗口,然后……

标准结局。(喂喂,快把这个人拖走)
回到正题,这件事情对各种人的影响如何呢……
  • 一般终端用户:相对来说电脑变得安全一点了(话不能说绝),特别是喜欢下载些不明软件的
    • 不要指望这个能干掉 360 什么的,你觉得这些公司弄个 EV 证书很难吗
  • 高级用户/玩家:安装测试版驱动(特别是显卡,AMD 我在说你)变得稍微麻烦了一些,当然关闭安全启动也就可以了。这些用户一般知道他们自己在干什么
    • 需要说明一点,现在有一些电脑是不提供关闭安全启动的选项的,或是提供 UEFI CSM 模式,但是纯 UEFI 下没有关闭安全启动的办法。
  • 独立开发者:编写驱动并分发变得困难了一些,除非你拥有一家公司并通过 EV 认证,然后才可以让微软签署驱动
  • 传统内核扩展开发者:在测试环境跑一遍 HLK(WHQL),像提交 App 一样把驱动和 WHQL 报告提交给微软来签署证书并分发,具体看这里
  • Rootkit 制造者:我说不好,也许要思考别的 bypass 方案?
也不算是坏事吧,至少对于小白来说电脑安全了一些些,至于别的影响,we will see.

————转载 微软信仰中心


举报 使用道具
| 回复

共 0 个关于关于 Windows 10 Version 1607 的内核态扩展代码(内核驱动)签名新策略的回复 最后回复于 6 天前

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖

版块推荐百宝箱

快速回复 返回顶部 返回列表