Freigeben über


Installation digitaler Signaturen und PnP-Geräte (Windows Vista und höher)

Unter Windows Vista und höheren Versionen von Windows verwendet Plug & Play-Geräteinstallation (PnP) die digitale Signatur der Katalogdatei eines Treiberpakets, um die folgenden Schritte auszuführen:

  • Überprüfen Sie die Identität des Herausgebers des Treiberpakets. Windows verwendet die Identität, um Benutzern die Wahl zu ermöglichen, ob sie dem Herausgeber eines Treibers vertrauen möchten.

  • Ermitteln Sie, ob das Treiberpaket nach der Veröffentlichung geändert wurde.

Die PnP-Geräteinstallation unter Windows Vista und höheren Versionen von Windows unterstützt die folgenden Arten von digitalen Signaturen für Treiberpakete:

  • Signaturtypen, die für Treiberpakete verwendet werden können, die für die allgemeine Öffentlichkeit freigegeben werden:

    • Von einer Windows-Signaturautorität generierte Signaturen für:
      1. Posteingangstreiberpakete
      2. Treiberpakete, die über die Windows Hardware Quality Labs (WHQL) zertifiziert und signiert sind
      3. Updates von Windows Sustained Engineering (SE).
    • Signaturen, die nicht von einer Windows-Signaturstelle generiert werden, aber den Signierungsanforderungen für die PnP-Geräteinstallation entsprechen.
  • Signaturen für die Bereitstellung von Treiberpaketen nur in Unternehmensnetzwerkumgebungen, die mit einem digitalen Zertifikat erstellt werden, das von der Unternehmenszertifizierungsstelle erstellt und verwaltet wird. Ausführliche Informationen zum Konfigurieren einer Unternehmenszertifizierungsstelle fallen nicht in den Rahmen dieser Dokumentation.

    Informationen zum Erstellen einer Unternehmenszertifizierungsstelle finden Sie unter Bewährte Methoden für die Codesignatur.

  • Signaturtypen, die intern während der Entwicklung und tests von Treibern verwendet werden können:

Windows Vista und höhere Versionen von Windows enthalten die folgenden Features, die Unterstützung für Signaturen bieten, die von Drittanbietern generiert werden:

  • Administratoren können steuern, welche Treiberverleger vertrauenswürdig sind. Windows Vista und höhere Versionen von Windows installiert Treiber von vertrauenswürdigen Herausgebern ohne Aufforderung. Es werden niemals Treiber von Herausgebern installiert, denen der Administrator nicht vertraut.

  • Die Richtlinie für die Treibersignatur ist immer auf Warn festgelegt. Dadurch entfallen die Optionen Ignorieren und Blockieren , die in Windows Server 2003, Windows XP und Windows 2000 verfügbar waren. Ein Administrator muss immer die Installation von nicht signierten Treibern oder eines Treibers von einem Herausgeber autorisieren, der noch nicht vertrauenswürdig ist.

  • Alle Gerätesetupklassen werden gleich behandelt. Unter Windows Server 2003, Windows XP und Windows 2000 müssen Treiberpakete, die von WHQL signiert wurden, über eine INF-Datei verfügen, die eine Gerätesetupklasse angibt, die in %SystemRoot%/inf/Certclas.inf definiert ist. Andernfalls behandelt Windows das Treiberpaket als nicht signiert.

  • Ab Windows Vista enthält der Bewertungsalgorithmus, mit dem das Betriebssystem das beste Treiberpaket auswählt, Treiberpakete mit Drittanbietersignaturen, wenn mehrere kompatible Treiberpakete zur Auswahl stehen.

    Dieser Algorithmus bewertet Treiberpakete wie folgt:

    • Wenn die Gruppenrichtlinie AllSignersEqual deaktiviert ist, rangiert das Betriebssystem Treiberpakete, die mit einer Microsoft-Signatur signiert sind, höher als Treiberpakete, die mit einer Drittanbietersignatur signiert sind. Diese Rangfolge tritt auch auf, wenn ein Treiberpaket, das mit einer Drittanbietersignatur signiert ist, auf alle anderen Arten eine bessere Übereinstimmung für ein Gerät darstellt.
    • Wenn die AllSignersEqual-Gruppenrichtlinie aktiviert ist, bewertet das Betriebssystem alle digital signierten Treiberpakete gleich.

    Hinweis Ab Windows 7 ist die Gruppenrichtlinie AllSignersEqual standardmäßig aktiviert. In Windows Vista und Windows Server 2008 ist die Gruppenrichtlinie AllSignersEqual standardmäßig deaktiviert. IT-Abteilungen können das Standardbewertungsverhalten überschreiben, indem sie die Gruppenrichtlinie AllSignersEqual aktivieren oder deaktivieren.

Vor der Installation eines Treiberpakets analysiert Windows die digitale Signatur des Treiberpakets . Wenn eine Signatur vorhanden ist, verwendet Windows die Signatur, um die Dateien im Treiberpaket zu überprüfen. Basierend auf den Ergebnissen dieser Analyse kategorisiert Windows die digitale Signatur wie folgt:

  • Signiert von einer Windows-Signaturautorität. Diese Treiberpakete sind entweder in der Standardinstallation von Windows (Posteingangstreiber) enthalten, von WHQL signiert oder von Windows SE signiert.

  • Signiert von einem vertrauenswürdigen Herausgeber. Diese Treiberpakete wurden von einem Drittanbieter signiert, und der Benutzer hat sich explizit dafür entschieden, signierten Treiberpaketen dieses Herausgebers immer zu vertrauen.

  • Signiert von einem nicht vertrauenswürdigen Herausgeber. Diese Treiberpakete wurden von einem Drittanbieter signiert, und der Benutzer hat sich explizit dafür entschieden, Treiberpaketen dieses Herausgebers niemals zu vertrauen.

  • Signiert von einem Herausgeber mit unbekannter Vertrauensstellung. Diese Treiberpakete wurden von einem Drittanbieter signiert, und der Benutzer hat nicht angegeben, ob er diesem Herausgeber vertrauen soll.

  • Geändert. Diese Treiberpakete sind signiert, aber Windows hat erkannt, dass mindestens eine Datei im Treiberpaket geändert wurde, nachdem das Paket signiert wurde.

  • Unsigned. Diese Treiberpakete sind entweder nicht signiert oder weisen eine ungültige Signatur auf. Gültige Signaturen müssen mithilfe eines Zertifikats erstellt werden, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Wenn das Betriebssystem ab Windows Vista zum ersten Mal ein Treiberpaket auf einem Computer installiert, wird der Treiber im Treiberspeicher vorab oder stufenweise installiert. Windows installiert anschließend mithilfe der Kopie des Treiberpakets im Treiberspeicher automatisch ein Treiberpaket für ein entsprechendes Gerät. Benutzerinteraktionen sind nicht erforderlich, wenn Windows ein vorinstalliertes Treiberpaket für ein Gerät installiert.

Ob Windows ein Treiberpaket vorinstalliert, hängt wie folgt von der Signaturkategorie, den Benutzeranmeldeinformationen und der Benutzerinteraktion ab:

  • Signiert von einer Windows-Signaturautorität oder einem vertrauenswürdigen Herausgeber. Windows installiert das Treiberpaket automatisch für Systemadministratoren und Standardbenutzer (Benutzer ohne Administratoranmeldeinformationen). Windows zeigt keine Benutzerdialogfelder an.

  • Signiert von einem nicht vertrauenswürdigen Herausgeber. Windows installiert das Treiberpaket nicht vorab.

  • Signiert von einem Herausgeber mit unbekannter Vertrauensstellung. Windows zeigt einem Systemadministrator ein Dialogfeld an, das den Administrator darüber informiert, dass der Herausgeber des Treiberpakets noch nicht vertrauenswürdig ist. Das Dialogfeld bietet dem Administrator die Option zum Installieren des Treiberpakets und die Option, dem Herausgeber immer zu vertrauen. Windows zeigt einem Standardbenutzer kein Dialogfeld an und installiert das Treiberpaket für den Standardbenutzer nicht vor.

  • Geändert oder nicht signiert. Windows zeigt ein Dialogfeld an, das einen Systemadministrator entsprechend warnt, dass die Signatur nicht überprüft werden konnte. Das Dialogfeld bietet dem Administrator die Option, das Treiberpaket zu installieren oder nicht. Windows zeigt einem Standardbenutzer kein Dialogfeld an und installiert das Treiberpaket nicht für einen Standardbenutzer.

Weitere Informationen zu Treibersignaturen und zur Installation finden Sie unter Signaturkategorien und Treiberinstallation.