去年，我們 宣布 ，從Windows 10發行版開始，所有新的Windows 10內核模式驅動程序都必須提交給 Windows Hardware Developer Center儀表板門戶（Dev Portal） 進行數字簽名。微軟。但是，由于技術和生態系統準備就緒問題，Windows Code Integrity并未強制執行此操作，而僅是一項政策聲明。

從Windows 10版本1607的新安裝開始，以前定義的驅動程序簽名規則將由操作系統強制執行，而Windows 10版本1607不會加載任何未由Dev Portal簽名的新內核模式驅動程序。操作系統簽名強制僅適用于新安裝的操作系統；從較早的操作系統升級到Windows 10版本1607的系統將不受此更改的影響。

我們正在進行這些更改，以幫助使Windows更安全。這些更改限制了最終用戶系統被惡意驅動程序軟件破壞的風險。

如果您是驅動程序開發人員，則需要執行以下操作：

1. 確保通過 Windows硬件開發(fa)人(ren)員中心(xin)儀表板門戶 向Microsoft提(ti)交新(xin)的驅(qu)動(dong)程序 。




2. 開始 獲取擴展驗證(zheng)（EV）代碼簽名證(zheng)書的過程 。提交到門戶的所有(you)驅動程序都(dou)必須由EV證(zheng)書簽名。

常見問題

確切的例外是什么？交叉簽名驅動程序仍然有效嗎？

強制僅在全新安裝中啟用安全啟動，并且僅適用于新的內核模式驅動程序：

• 從Windows 10版(ban)本(ben)1607之前(qian)的(de)Windows版(ban)本(ben)升級的(de)PC仍將允(yun)許安裝交叉簽名的(de)驅動程序。




• 關閉了安全啟動的PC仍將允(yun)許安裝交叉簽名的驅(qu)動程序。




• 將會(hui)繼(ji)續允許使用在2015年7月29日之前(qian)頒發的最終實體證書簽名的驅動程序(xu)，該證書鏈接到受(shou)支持的交叉簽名的CA。




• 為防止系統無法正常(chang)啟動，啟動驅動程(cheng)序(xu)將(jiang)不會被阻止，但會被程(cheng)序(xu)兼(jian)容性(xing)助手刪除。Windows的未來(lai)版本將(jiang)阻止啟動驅動程(cheng)序(xu)。

綜上所述，在具有安全啟動功能的Windows 10版本1607的未升級全新安裝上，驅動程序必須由Microsoft簽名，或使用2015年7月29日之前發布的最終實體證書簽名，該證書鏈接到受支持的交叉簽名CA。 那么現有的驅動程序呢？我是否需要重新簽名這些驅動程序才能使其與Windows 10版本1607一起使用？ 不需要。現有驅動程序不需要重新簽名。為確保向后兼容，已通過 2015年7月29日之前簽發的 有效交叉簽名證書 正確簽名的驅動程序 將繼續在Windows 10版本1607上通過簽名檢查。那Windows的 舊版本呢？


這篇文章中描述的更改僅適用于Windows 10版本1607。請注意， 無論您打算使用驅動程序包支持哪種操作系統， Windows硬件開發人員中心儀表板門戶 都將要求所有新提交的內容均使用EV代碼簽名證書進行簽名。 。 在開發和測試期間如何簽名驅動程序？ 請參閱 MSDN上的“ 開發和測試期間的 簽名驅動程序” 主題，以獲取有關如何測試符號的信息。此外，如果將安全啟動設置為OFF，則使用現有交叉簽名證書簽名的驅動程序將繼續有效。 如何簽名驅動程序，使其與Windows Vista，Windows 7，Windows 8，Windows 8.1和Windows 10兼容？


您需要做的就是像過去一樣運行Windows 10的HLK測試，并運行Windows 8.1和更早版本的HCK測試。然后，使用Windows 10 HLK合并兩個測試日志，并將驅動程序以及合并的HLK / HCK測試結果提交到 Windows硬件開發人員中心儀表板門戶 。門戶將正確簽名驅動程序，以便它將在您指定的所有平臺上運行。 擴展驗證證書開發門戶軟件包簽名如何？


該門戶網站當前要求所有駕駛員提交者在其帳戶中注冊有效的EV代碼簽名證書。Windows本身對通過EV證書簽名的驅動程序沒有任何特殊要求。