Condividi tramite


Requisiti di firma del codice driver

I driver devono essere firmati con un certificato prima di inviarli al dashboard hardware. L'organizzazione può associare un numero qualsiasi di certificati al proprio account dashboard e ogni invio deve essere firmato con uno di questi certificati. Non esiste alcuna restrizione sul numero di certificati (convalida estesa (EV) e Standard associati all'organizzazione.

Questo articolo fornisce informazioni generali sui tipi di firma del codice disponibili per i driver e sui requisiti associati per tali driver.

Per informazioni più dettagliate sui requisiti di firma dei driver, vedere le pagine seguenti:

Dove ottenere i certificati di firma del codice

I certificati di firma del codice possono essere acquistati da una delle autorità di certificazione seguenti:

Driver firmati del certificato EV

L'account del dashboard di Hardware Dev Center deve avere almeno un certificato EV associato per inviare file binari per la firma dell'attestazione o per inviare file binari per la certificazione HLK.

Si applicano le seguenti regole:

  • Il certificato EV registrato deve essere valido al momento dell'invio.
  • Anche se Microsoft consiglia vivamente di firmare singoli invii con un certificato EV, in alternativa è possibile firmare gli invii con un certificato di firma Authenticode registrato anche nell'account del Centro per i partner.
  • Tutti i certificati devono essere SHA2 e firmati con l'opzione della /fd sha256 riga di comando SignTool.

Se si dispone già di un certificato EV approvato da un'autorità di certificazione, è possibile usarlo per stabilire un account del Centro per i partner. Se non si dispone di un certificato EV, scegliere una delle autorità di certificazione e seguire le istruzioni per l'acquisto.

Dopo che l'autorità di certificazione verifica le informazioni di contatto e l'acquisto del certificato è stato approvato, seguire le istruzioni per recuperare il certificato.

Driver con firma di HLK e del dashboard

Un driver firmato dal dashboard che ha superato i test HLK funziona in Windows Vista e versioni successive, incluse le edizioni di Windows Server. Il test HLK è il metodo consigliato per la firma del driver, perché firma un driver per tutte le versioni del sistema operativo. I driver testati HLK dimostrano che un produttore testa rigorosamente l'hardware per soddisfare tutti i requisiti di Microsoft relativi all'affidabilità, alla sicurezza, all'efficienza energetica, alla gestibilità e alle prestazioni, per offrire un'esperienza di Windows ottimale. I test includono la conformità agli standard di settore e la conformità alle specifiche Microsoft per le funzionalità specifiche della tecnologia, contribuendo a garantire l'installazione, la distribuzione, la connettività e l'interoperabilità corrette. Per informazioni su come creare un driver testato HLK per l'invio del dashboard, vedi Introduzione a Windows HLK.

Driver firmati di attestazione di Windows 10 per scenari di test

L'installazione del dispositivo Windows usa firme digitali per verificare l'integrità dei pacchetti driver e l'identità dell'autore del software che fornisce i pacchetti driver.

Solo a scopo di test, è possibile inviare i driver per la firma dell'attestazione, che non richiede test HLK.

La firma dell'attestazione presenta le restrizioni e i requisiti seguenti:

  • I driver firmati di attestazione non possono essere pubblicati in Windows Update per i destinatari delle vendite al dettaglio. Per pubblicare un driver in Windows Update per i destinatari delle vendite al dettaglio, è necessario inviare il driver tramite windows Hardware Compatibility Program (WHCP).To publish a driver to Windows Update for retail audiences, you must submit your driver through the Windows Hardware Compatibility Program (WHCP). La pubblicazione dei driver firmati di attestazione in Windows Update a scopo di test è supportata selezionando Le opzioni CoDev o Test Registry Key/Surface SSRK .

  • La firma dell'attestazione funziona solo in Windows 10 Desktop e versioni successive di Windows.

  • La firma di attestazione supporta la modalità kernel di Windows 10 Desktop e i driver in modalità utente. Anche se i driver in modalità utente non devono essere firmati da Microsoft per Windows 10, lo stesso processo di attestazione può essere usato sia per i driver in modalità utente che per i driver in modalità kernel. Per i driver che devono essere eseguiti nelle versioni precedenti di Windows, è necessario inviare i log di test HLK/HCK per la certificazione Windows.

  • La firma di attestazione non restituisce il livello PE appropriato per i file binari ELAM o Windows Hello PE. Questi file binari devono essere testati e inviati come pacchetti con estensione hlkx per ricevere gli attributi di firma aggiuntivi.

  • La firma dell'attestazione richiede l'uso di un certificato di convalida estesa (EV) per inviare il driver al Centro per i partner (dashboard di Hardware Dev Center).

  • La firma dell'attestazione richiede che i nomi delle cartelle del driver non contengano caratteri speciali, non percorsi di condivisione file UNC e che siano lunghi meno di 40 caratteri.

  • Quando un driver riceve la firma di attestazione, non è Certificato Windows. Una firma di attestazione di Microsoft indica che il driver è considerato attendibile da Windows. Tuttavia, poiché il driver non è stato testato in HLK Studio, non ci sono garanzie relative a compatibilità, funzionalità e così via. Un driver che riceve la firma di attestazione non può essere pubblicato nei destinatari delle vendite al dettaglio tramite Windows Update. Se vuoi pubblicare il driver ai destinatari delle vendite al dettaglio, devi inviare il driver tramite il Programma di compatibilità hardware Windows (WHCP).

  • DUA (Driver Update accettabile) non supporta i driver firmati tramite attestazione.

  • I livelli e i file binari PE seguenti possono essere elaborati tramite Attestazione:

    • PeTrust
    • DrmLevel
    • HAL
    • .exe
    • .cab
    • .dll
    • ocx
    • msi
    • .xpi
    • .xap

Per informazioni su come creare un driver firmato di attestazione per i driver Windows 10+, vedi Firma di attestazione per i driver di Windows 10+.

Driver firmati di Windows Server

  • Windows Server 2016 e versioni successive non accettano invii di firma dei driver e dispositivi attestati.
  • Il dashboard firma solo i driver di dispositivo e filtro che superano correttamente i test HLK.
  • Windows Server 2016 e versioni successive carica solo i driver firmati dal dashboard che superano correttamente i test HLK.

Controllo di applicazioni di Windows Defender

Le aziende possono implementare criteri per modificare i requisiti di firma dei driver usando Windows 10 Enterprise Edition. Windows Defender Application Control (WDAC) fornisce criteri di integrità del codice definiti dall'organizzazione, che possono essere configurati per richiedere almeno un driver con firma di attestazione. Per altre informazioni su WDAC, vedere Pianificazione e introduzione al processo di distribuzione di Windows Defender Application Control.

Requisiti di firma dei driver Windows

La tabella seguente riepiloga i requisiti di firma dei driver per Windows:

Versione Dashboard di attestazione firmato Dashboard HLK test superato firmato Firma incrociata con un certificato SHA-1 rilasciato prima del 29 luglio 2015
Windows Vista No
Windows 7 No
Windows 8/8.1 No
Windows 10 No (a partire da Windows 10 1809)
Windows 10 - DG abilitato *Dipendente dalla configurazione *Dipendente dalla configurazione *Dipendente dalla configurazione
Windows Server 2008 R2 No
Windows Server 2012 R2 No
Windows Server >= 2016 No
Windows Server >= 2016 - DG abilitato *Dipendente dalla configurazione *Dipendente dalla configurazione *Dipendente dalla configurazione
Windows IoT Enterprise
Windows IoT Enterprise- DG abilitato *Dipendente dalla configurazione *Dipendente dalla configurazione *Dipendente dalla configurazione
Windows IoT Core(1) Sì (non obbligatorio) Sì (non obbligatorio) Sì (la firma incrociata funzionerà anche per i certificati rilasciati dopo il 29 luglio 2015)

*Dipendente dalla configurazione: con Windows 10 Enterprise Edition, le organizzazioni possono usare Windows Defender Application Control (WDAC) per definire requisiti di firma personalizzati. Per altre informazioni su WDAC, vedere Pianificazione e introduzione al processo di distribuzione di Windows Defender Application Control.

(1) La firma del driver è necessaria per i produttori che creano prodotti di vendita al dettaglio (vale a dire per uno scopo non di sviluppo) con IoT Core. Per un elenco delle autorità di certificazione approvate, vedere Cross-Certificates for Kernel Mode Code Signing (Certificati incrociati per la firma del codice in modalità kernel). Se l'avvio protetto UEFI è abilitato, i driver devono essere firmati.