Compartilhar via

Habilitar o carregamento de drivers submetidos a teste com assinatura

  • Artigo

Por padrão, o Windows não carrega drivers de modo kernel assinados por teste. Para alterar esse comportamento e permitir que drivers assinados por teste sejam carregados, use o editor de dados de configuração de inicialização, BCDEdit.exe, para habilitar ou desabilitar TESTSIGNING, uma opção de configuração de inicialização. Você deve ter direitos de administrador para habilitar essa opção.

Observação

A partir do Windows Vista, a política de assinatura de código no modo kernel requer que todo o código do modo kernel tenha uma assinatura digital para carregar em versões de 64 bits do Windows. No entanto, na maioria dos casos, um driver não assinado pode ser instalado e carregado em versões de 32 bits do Windows. Para obter mais informações, consulte Política de assinatura de driver.

Direitos de administrador necessários

Para usar o BCDEdit, você deve ser membro do grupo Administradores no sistema e executar o comando em um prompt de comando elevado. Para abrir uma janela elevada do Prompt de Comando, digite cmd na caixa de pesquisa na barra de tarefas do Windows, selecione e segure (ou clique com o botão direito do mouse) Prompt de Comando nos resultados da pesquisa e selecione Executar como administrador.

Aviso

Os direitos administrativos são necessários para usar o BCDEdit para modificar os dados de configuração de inicialização. Alterar algumas opções de entrada de inicialização usando BCDEdit /set pode tornar o computador inoperante. Como alternativa, use o utilitário de configuração do sistema (MSConfig.exe) para alterar as configurações de inicialização.

Habilitar ou desabilitar o uso de código assinado por teste

Execute linhas de comando BCDEdit para habilitar ou desabilitar o carregamento de código assinado por teste. Para que uma alteração entre em vigor, seja habilitando ou desabilitando a opção, você deve reiniciar o computador após alterar a configuração.

Para habilitar o código assinado por teste, use a seguinte linha de comando BCDEdit:

:: If this command results in "The value is protected by Secure Boot policy and cannot be modified or deleted"
:: Then reboot the PC, go into BIOS settings, and disable Secure Boot. BitLocker may also affect your ability to modify this setting.
Bcdedit.exe -set TESTSIGNING ON

Observação

A partir do Windows 10, versão 1507, se você tiver a Integridade da Memória / HVCI (Integridade do Código do Hipervisor) habilitada, deverá assinar o binário usando qualquer certificado de teste criado automaticamente. Não há suporte para um binário não assinado.

Para desabilitar o uso de código assinado por teste, use a seguinte linha de comando BCDEdit:

Bcdedit.exe -set TESTSIGNING OFF

A figura a seguir mostra o resultado do uso da linha de comando BCDEdit para habilitar a assinatura de teste.

Captura de tela dos resultados do uso de testsigning, uma opção de configuração de inicialização.

Comportamento do Windows ao carregar código assinado de teste está habilitado

Quando o carregamento do código assinado pelo teste está habilitado, o Windows faz o seguinte:

  • Exibe uma marca d'água com o texto "Modo de teste" no canto inferior direito da área de trabalho para lembrar aos usuários que o sistema está habilitado para a assinatura de teste.

  • O carregador do sistema operacional e os drivers de carregamento do kernel que são assinados por qualquer certificado. A validação do certificado não é necessária para encadear até uma autoridade de certificação raiz confiável. No entanto, cada arquivo de imagem de driver deve ter uma assinatura digital.