Firmas digitales y instalación de dispositivos PnP (Windows Vista y versiones posteriores)
En Windows Vista y versiones posteriores de Windows, la instalación de dispositivos de Plug and Play (PnP) usa la firma digital del archivo decatálogo de un paquete de controladores para hacer lo siguiente:
Compruebe la identidad del publicador del paquete de controladores. Windows usa la identidad para permitir a los usuarios elegir si confiar en el publicador de un controlador.
Determine si el paquete de controladores se modificó después de su publicación.
La instalación de dispositivos PnP en Windows Vista y versiones posteriores de Windows admiten los siguientes tipos de firmas digitales para paquetes de controladores:
Tipos de firma que se pueden usar para los paquetes de controladores que se publican en el público general:
- Firmas generadas por una entidad de firma de Windows para:
- Paquetes de controladores de bandeja de entrada
- Paquetes de controladores certificados y firmados a través de Windows Hardware Quality Labs (WHQL)
- Actualizaciones de Ingeniería sostenida de Windows (SE).
- Las firmas que no generan una entidad de firma de Windows, pero cumplen los requisitos de firma de instalación de dispositivos PnP.
- Firmas generadas por una entidad de firma de Windows para:
Firmas para implementar paquetes de controladores solo en entornos de red corporativos, que se crean mediante un certificado digital creado y administrado por la ENTIDAD de certificación empresarial. La información detallada sobre cómo configurar una entidad de certificación empresarial está fuera del ámbito de esta documentación.
Para obtener información sobre cómo crear una entidad de certificación empresarial, consulte Procedimientos recomendados de firma de código.
Tipos de firma que se pueden usar internamente durante el desarrollo y la prueba de controladores:
- Firmas generadas por el programa de firma de prueba WHQL
- Firmas generadas por un certificado de prueba MakeCert
- Firmas creadas por un certificado de prueba comercial que se obtiene de una entidad de certificación que es miembro del Programa de certificados raíz de Microsoft
- Firmas generadas por un certificado de prueba de entidad de certificación empresarial
Windows Vista y versiones posteriores de Windows incluyen las siguientes características que proporcionan compatibilidad con firmas generadas por terceros:
Los administradores pueden controlar qué editores de controladores son de confianza. Windows Vista y versiones posteriores de Windows instalan controladores de editores de confianza sin preguntar. Nunca instala controladores de publicadores en los que el administrador ha elegido no confiar.
La directiva de firma de controladores siempre se establece en Advertir. Esto elimina las opciones Omitir y Bloquear que estaban disponibles en Windows Server 2003, Windows XP y Windows 2000. Un administrador siempre debe autorizar la instalación de controladores sin firmar o de un controlador de un publicador que aún no es de confianza.
Todas las clases de configuración de dispositivos se tratan igualmente. En Windows Server 2003, Windows XP y Windows 2000, los paquetes de controladores firmados por WHQL deben tener un archivo INF que especifique una clase de instalación de dispositivo definida en %SystemRoot%/inf/Certclas.inf. De lo contrario, Windows trata el paquete de controladores como sin firmar.
A partir de Windows Vista, cuando hay varios paquetes de controladores compatibles entre los que elegir, el algoritmo de clasificación que usa el sistema operativo para seleccionar el mejor paquete de controladores incluye paquetes de controladores que tienen firmas de terceros.
Este algoritmo clasifica los paquetes de controladores de la siguiente manera:
- Si la directiva de grupo AllSignersEqual está deshabilitada, el sistema operativo clasifica los paquetes de controladores firmados con una firma de Microsoft superior a los paquetes de controladores firmados con una firma de terceros. Esta clasificación se produce incluso si un paquete de controladores firmado con una firma de terceros es, de todas las demás maneras, una mejor coincidencia para un dispositivo.
- Si la directiva de grupo AllSignersEqual está habilitada, el sistema operativo clasifica todos los paquetes de controladores firmados digitalmente por igual.
Nota A partir de Windows 7, la directiva de grupo AllSignersEqual está habilitada de forma predeterminada. En Windows Vista y Windows Server 2008, la directiva de grupo AllSignersEqual está deshabilitada de forma predeterminada. Los departamentos de TI pueden invalidar el comportamiento de clasificación predeterminado habilitando o deshabilitando la directiva de grupo AllSignersEqual .
Antes de instalar un paquete de controladores, Windows analiza la firma digital del paquete de controladores . Si hay una firma presente, Windows usa la firma para validar los archivos del paquete de controladores. En función de los resultados de este análisis, Windows clasifica la firma digital de la siguiente manera:
Firmado por una entidad de firma de Windows. Estos paquetes de controladores se incluyen en la instalación predeterminada de Windows (controladores de bandeja de entrada), firmados para su lanzamiento por WHQL o firmados por Windows SE.
Firmado por un editor de confianza. Estos paquetes de controladores han sido firmados por un tercero y el usuario ha elegido explícitamente confiar siempre en los paquetes de controladores firmados de este publicador.
Firmado por un publicador que no es de confianza. Estos paquetes de controladores han sido firmados por un tercero y el usuario ha elegido nunca confiar explícitamente en los paquetes de controladores de este publicador.
Firmado por un publicador de confianza desconocida. Estos paquetes de controladores han sido firmados por un tercero y el usuario no ha indicado si confiar en este publicador.
Alterado. Estos paquetes de controladores están firmados, pero Windows ha detectado que al menos un archivo del paquete de controladores se ha modificado después de firmar el paquete.
Unsigned. Estos paquetes de controladores no están firmados o tienen una firma no válida. Las firmas válidas se deben crear mediante un certificado emitido por una entidad de certificación de confianza.
A partir de Windows Vista, cuando el sistema operativo instala un paquete de controladores en un equipo por primera vez, preinstala o fases, el controlador en el almacén de controladores. Windows instalará de forma silenciosa un paquete de controladores para un dispositivo coincidente mediante la copia del paquete de controladores en el almacén de controladores. La interacción del usuario no es necesaria cuando Windows instala un paquete de controladores preinstalado para un dispositivo.
Si Windows preinstalará un paquete de controladores depende de la categoría de firma, las credenciales de usuario y la interacción del usuario, como se indica a continuación:
Firmado por una entidad de firma de Windows o un publicador de confianza. Windows preinstala de forma silenciosa el paquete de controladores para los administradores del sistema y los usuarios estándar (usuarios sin credenciales de administrador). Windows no muestra ningún cuadro de diálogo de usuario.
Firmado por un publicador que no es de confianza. Windows no preinstala el paquete de controladores.
Firmado por un publicador de confianza desconocida. Windows muestra un cuadro de diálogo a un administrador del sistema que informa al administrador de que el publicador del paquete de controladores aún no es de confianza. El cuadro de diálogo proporciona al administrador la opción de instalar el paquete de controladores y la opción para confiar siempre en el publicador. Windows no muestra un cuadro de diálogo a un usuario estándar y no preinstala el paquete de controladores para el usuario estándar.
Modificado o sin firmar. Windows muestra un cuadro de diálogo que advierte adecuadamente a un administrador del sistema de que no se pudo comprobar la firma. El cuadro de diálogo proporciona al administrador la opción de instalar o no instalar el paquete de controladores. Windows no muestra un cuadro de diálogo a un usuario estándar y no preinstala el paquete de controladores para un usuario estándar.
Para obtener más información sobre las firmas de controlador y la instalación, vea Categorías de firma e instalación de controladores.