디지털 서명 및 PnP 디바이스 설치(Windows Vista 이상)

Windows Vista 이상 버전의 Windows에서 PnP(플러그 앤 플레이) 디바이스 설치는 드라이버 패키지카탈로그 파일의 디지털 서명을 사용하여 다음을 수행합니다.

• 드라이버 패키지 게시자의 ID를 확인합니다. Windows는 ID를 사용하여 사용자가 드라이버의 게시자를 신뢰할지 여부를 선택할 수 있도록 합니다.

• 드라이버 패키지가 게시된 후 변경되었는지 여부를 확인합니다.

Windows Vista 이상 버전의 Windows에서 PnP 디바이스 설치는 드라이버 패키지에 대해 다음과 같은 유형의 디지털 서명을 지원합니다.

• 일반 대중에게 릴리스되는 드라이버 패키지에 사용할 수 있는 서명 형식:

  • Windows 서명 기관에서 생성한 서명은 다음과 같습니다.
    1. 받은 편지함 드라이버 패키지
    2. WHQL(Windows Hardware Quality Labs)을 통해 인증 및 서명된 드라이버 패키지
    3. WINDOWS SE(지속 엔지니어링) 업데이트.
  • Windows 서명 기관에서 생성하지 않지만 PnP 디바이스 설치 서명 요구 사항을 준수하는 서명입니다.

• 엔터프라이즈 CA에서 만들고 관리하는 디지털 인증서로 만들어지는 회사 네트워크 환경 내에서만 드라이버 패키지를 배포하기 위한 서명입니다. 엔터프라이즈 CA를 구성하는 방법에 대한 자세한 내용은 이 설명서의 범위를 벗어났습니다.

  엔터프라이즈 CA를 만드는 방법에 대한 자세한 내용은 코드 서명 모범 사례를 참조하세요.

• 드라이버 개발 및 테스트 중에 사내에서 사용할 수 있는 서명 유형:

  • WHQL 테스트 서명 프로그램에서 생성된 서명
  • MakeCert 테스트 인증서에서 생성된 서명
  • Microsoft 루트 인증서 프로그램의 구성원인 CA에서 가져온 상업용 테스트 인증서로 만든 서명
  • 엔터프라이즈 CA 테스트 인증서에서 생성된 서명

Windows Vista 이상 버전의 Windows에는 타사에서 생성한 서명을 지원하는 다음 기능이 포함되어 있습니다.

• 관리자는 신뢰할 수 있는 드라이버 게시자를 제어할 수 있습니다. Windows Vista 이상 버전의 Windows는 메시지를 표시하지 않고 신뢰할 수 있는 게시자의 드라이버를 설치합니다. 관리자가 신뢰하지 않기로 선택한 게시자의 드라이버를 설치하지 않습니다.

• 드라이버 서명 정책은 항상 경고로 설정됩니다. 이렇게 하면 Windows Server 2003, Windows XP 및 Windows 2000에서 사용할 수 있었던 무시 및 차단 옵션이 제거됩니다. 관리자는 서명되지 않은 드라이버 또는 아직 신뢰할 수 없는 게시자의 드라이버 설치 권한을 항상 부여해야 합니다.

• 모든 디바이스 설정 클래스는 동일하게 처리됩니다. Windows Server 2003, Windows XP 및 Windows 2000에서 WHQL로 서명된 드라이버 패키지에는 %SystemRoot%/inf/Certclas.inf에 정의된 디바이스 설정 클래스를 지정하는 INF 파일이 있어야 합니다. 그렇지 않으면 Windows는 드라이버 패키지를 서명되지 않은 것으로 처리합니다.

• Windows Vista부터 여러 호환되는 드라이버 패키지 중에서 선택할 수 있는 경우 운영 체제에서 최상의 드라이버 패키지를 선택하는 데 사용하는 순위 알고리즘에는 타사 서명이 있는 드라이버 패키지가 포함됩니다.

  이 알고리즘은 다음과 같은 방식으로 드라이버 패키지의 순위를 지정합니다.

  • AllSignersEqual 그룹 정책을 사용하지 않도록 설정하면 운영 체제는 타사 서명으로 서명된 드라이버 패키지보다 높은 Microsoft 서명으로 서명된 드라이버 패키지의 순위를 매겼습니다. 이 순위는 타사 서명으로 서명된 드라이버 패키지가 다른 모든 면에서 디바이스와 더 일치하는 경우에도 발생합니다.
  • AllSignersEqual 그룹 정책을 사용하도록 설정하면 운영 체제는 디지털 서명된 모든 드라이버 패키지의 순위를 동일하게 지정합니다.

  참고 Windows 7부터 AllSignersEqual 그룹 정책은 기본적으로 사용하도록 설정됩니다. Windows Vista 및 Windows Server 2008에서는 AllSignersEqual 그룹 정책이 기본적으로 사용하지 않도록 설정됩니다. IT 부서는 AllSignersEqual 그룹 정책을 사용하거나 사용하지 않도록 설정하여 기본 순위 동작을 재정의할 수 있습니다.

드라이버 패키지를 설치하기 전에 Windows는 드라이버 패키지의 디지털 서명을 분석합니다. 서명이 있는 경우 Windows는 서명을 사용하여 드라이버 패키지의 파일 유효성을 검사합니다. 이 분석의 결과에 따라 Windows는 다음과 같이 디지털 서명을 분류합니다.

• Windows 서명 기관에서 서명했습니다. 이러한 드라이버 패키지는 Windows(받은 편지함 드라이버)의 기본 설치에 포함되거나, WHQL에서 릴리스용으로 서명되거나, Windows SE에서 서명됩니다.

• 신뢰할 수 있는 게시자가 서명했습니다. 이러한 드라이버 패키지는 타사에서 서명했으며 사용자는 이 게시자의 서명된 드라이버 패키지를 항상 신뢰하도록 명시적으로 선택했습니다.

• 신뢰할 수 없는 게시자가 서명했습니다. 이러한 드라이버 패키지는 타사에서 서명했으며 사용자는 이 게시자의 드라이버 패키지를 신뢰하지 않도록 명시적으로 선택했습니다.

• 알 수 없는 신뢰 게시자가 서명했습니다. 이러한 드라이버 패키지는 타사에서 서명했으며 사용자는 이 게시자를 신뢰할지 여부를 표시하지 않았습니다.

• 변경. 이러한 드라이버 패키지는 서명되었지만 Windows는 패키지가 서명된 후 드라이버 패키지 에 있는 파일이 하나 이상 변경되었음을 감지했습니다.

• 부호 없는. 이러한 드라이버 패키지는 서명되지 않았거나 잘못된 서명이 있습니다. 신뢰할 수 있는 CA에서 발급한 인증서를 사용하여 유효한 서명을 만들어야 합니다.

Windows Vista부터 운영 체제에서 처음으로 컴퓨터에 드라이버 패키지를 설치할 때 드라이버 저장소에 드라이버를 사전 설치하거나 스테이지합니다. 이후 Windows는 드라이버 저장소에서 드라이버 패키지의 복사본을 사용하여 일치하는 디바이스에 대한 드라이버 패키지를 자동으로 설치합니다. Windows에서 디바이스에 대해 미리 설치된 드라이버 패키지를 설치할 때는 사용자 상호 작용이 필요하지 않습니다.

Windows에서 드라이버 패키지를 사전 설치할지 여부는 다음과 같이 서명 범주, 사용자 자격 증명 및 사용자 상호 작용에 따라 달라집니다.

• Windows 서명 기관 또는 신뢰할 수 있는 게시자가 서명했습니다. Windows는 시스템 관리자 및 표준 사용자(관리자 자격 증명이 없는 사용자)를 위해 드라이버 패키지를 자동으로 사전 설치합니다. Windows에는 사용자 대화 상자가 표시되지 않습니다.

• 신뢰할 수 없는 게시자가 서명했습니다. Windows는 드라이버 패키지를 사전 설치하지 않습니다.

• 알 수 없는 신뢰 게시자가 서명했습니다. Windows는 드라이버 패키지의 게시자가 아직 신뢰할 수 없음을 관리자에게 알리는 시스템 관리자에게 대화 상자를 표시합니다. 대화 상자는 관리자에게 드라이버 패키지를 설치하는 옵션과 항상 게시자를 신뢰하는 옵션을 제공합니다. Windows는 표준 사용자에게 대화 상자를 표시하지 않으며 표준 사용자에 대한 드라이버 패키지를 미리 설치하지 않습니다.

• 변경되었거나 서명되지 않았습니다. Windows는 시스템 관리자에게 서명을 확인할 수 없음을 적절하게 경고하는 대화 상자를 표시합니다. 대화 상자는 관리자에게 드라이버 패키지를 설치하거나 설치하지 않는 옵션을 제공합니다. Windows는 표준 사용자에게 대화 상자를 표시하지 않으며 표준 사용자에 대한 드라이버 패키지를 미리 설치하지 않습니다.

드라이버 서명 및 설치에 대한 자세한 내용은 서명 범주 및 드라이버 설치를 참조하세요.