Установка цифровых подписей и устройств PnP (Windows Vista и более поздних версий)

В Windows Vista и более поздних версиях Windows установка устройства Plug and Play (PnP) использует цифровую подписьфайла каталогапакета драйверов для выполнения следующих действий:

• Проверьте удостоверение издателя пакета драйверов. Windows использует удостоверение, чтобы пользователи могли выбирать, следует ли доверять издателю драйвера.

• Определите, был ли изменен пакет драйвера после его публикации.

Установка устройств PnP в Windows Vista и более поздних версиях Windows поддерживает следующие типы цифровых подписей для пакетов драйверов:

• Типы подписей, которые можно использовать для пакетов драйверов, выпущенных для широкой общественности:

  • Подписи, созданные центром подписывания Windows для:
    1. Пакеты драйверов для папки "Входящие"
    2. Пакеты драйверов, сертифицированные и подписанные в Windows Hardware Quality Labs (WHQL)
    3. Обновления Windows Sustained Engineering (SE).
  • Подписи, созданные не центром подписи Windows, но соответствующие требованиям к подписи для установки PnP-устройства.

• Подписи для развертывания пакетов драйверов только в корпоративных сетевых средах, которые создаются с помощью цифрового сертификата, созданного и управляемого ЦС Предприятия. Подробные сведения о настройке корпоративного ЦС выходят за рамки этой документации.

  Сведения о создании корпоративного ЦС см. в разделе Рекомендации по подписывателю кода.

• Типы подписей, которые можно использовать во время разработки и тестирования драйверов:

  • Подписи, созданные программой тестовой подписи WHQL
  • Подписи, созданные тестовый сертификат MakeCert
  • Подписи, созданные с помощью коммерческого тестового сертификата , полученного из ЦС, являющегося участником программы корневых сертификатов Майкрософт
  • Подписи, созданные сертификатом тестирования ЦС Предприятия

Windows Vista и более поздние версии Windows включают следующие функции, обеспечивающие поддержку подписей, создаваемых сторонними производителями.

• Администраторы могут управлять доверенными издателями драйверов. Windows Vista и более поздних версий Windows устанавливает драйверы от доверенных издателей без запроса. Он никогда не устанавливает драйверы от издателей, которым администратор не доверял.

• Политика подписи драйверов всегда имеет значение Предупреждать. Это исключает параметры Пропускать и блокировать , доступные в Windows Server 2003, Windows XP и Windows 2000. Администратор всегда должен авторизовать установку неподписанных драйверов или драйвера от издателя, который еще не является доверенным.

• Все классы настройки устройств обрабатываются одинаково. В Windows Server 2003, Windows XP и Windows 2000 пакеты драйверов, подписанные WHQL, должны иметь INF-файл, указывающий класс установки устройства, определенный в %SystemRoot%/inf/Certclas.inf. В противном случае Windows обрабатывает пакет драйвера как неподписанный.

• Начиная с Windows Vista, при наличии нескольких совместимых пакетов драйверов алгоритм ранжирования, который используется операционной системой для выбора лучшего пакета драйверов, включает пакеты драйверов, имеющие сторонние сигнатуры.

  Этот алгоритм ранжирует пакеты драйверов следующим образом:

  • Если групповая политика AllSignersEqual отключена , операционная система ранжирует пакеты драйверов, подписанные подписью Майкрософт, выше, чем пакеты драйверов, подписанные сторонней подписью. Такое ранжирование происходит, даже если пакет драйвера, подписанный сторонней подписью, во всех остальных отношениях лучше подходит для устройства.
  • Если групповая политика AllSignersEqual включена , операционная система ранжирует все пакеты драйверов с цифровой подписью одинаково.

  Примечание Начиная с Windows 7 групповая политика AllSignersEqual включена по умолчанию. В Windows Vista и Windows Server 2008 групповая политика AllSignersEqual отключена по умолчанию. ИТ-отделы могут переопределить поведение ранжирования по умолчанию, включив или отключив групповую политику AllSignersEqual .

Перед установкой пакета драйверов Windows анализирует цифровую подпись пакета драйверов . При наличии сигнатуры Windows использует ее для проверки файлов в пакете драйвера. На основе результатов этого анализа Windows классифицирует цифровую подпись следующим образом:

• Подписан центром подписывания Windows. Эти пакеты драйверов включены в установку Windows по умолчанию (драйверы для папки "Входящие"), подписаны для выпуска с помощью WHQL или подписаны Windows SE.

• Подписан доверенным издателем. Эти пакеты драйверов подписаны сторонними разработчиками, и пользователь явно решил всегда доверять подписанным пакетам драйверов от этого издателя.

• Подписан ненадежным издателем. Эти пакеты драйверов подписаны сторонним разработчиком, и пользователь явно не доверяет пакетам драйверов от этого издателя.

• Подписан издателем с неизвестным доверием. Эти пакеты драйверов подписаны сторонним разработчиком, и пользователь не указал, следует ли доверять этому издателю.

• Изменены. Эти пакеты драйверов подписаны, но Windows обнаружила, что по крайней мере один файл в пакете драйверов был изменен после подписания пакета.

• Без знака. Эти пакеты драйверов либо не подписаны, либо имеют недопустимую подпись. Допустимые подписи должны создаваться с помощью сертификата, выданного доверенным ЦС.

Начиная с Windows Vista, когда операционная система впервые устанавливает пакет драйверов на компьютере, она предустановит или этапы драйвера в хранилище драйверов. Затем Windows автоматически установит пакет драйверов для соответствующего устройства, используя копию пакета драйвера в хранилище драйверов. Взаимодействие с пользователем не требуется, когда Windows устанавливает предустановленный пакет драйверов для устройства.

Будет ли Windows предварительно установить пакет драйвера , зависит от категории подписи, учетных данных пользователя и взаимодействия с пользователем следующим образом:

• Подписан центром подписывания Windows или доверенным издателем. Windows автоматически предустановит пакет драйверов для системных администраторов и обычных пользователей (пользователей без учетных данных администратора). В Windows не отображаются диалоговые окна пользователя.

• Подписан ненадежным издателем. Windows не выполняет предварительную установка пакета драйвера.

• Подписан издателем с неизвестным доверием. Windows отображает для системного администратора диалоговое окно, информирующее администратора о том, что издатель пакета драйверов еще не является доверенным. В диалоговом окне администратор может установить пакет драйвера и всегда доверять издателю. Windows не отображает диалоговое окно для обычного пользователя и не предварительно устанавливает пакет драйверов для обычного пользователя.

• Изменено или без знака. Windows отображает диалоговое окно, соответствующее предупреждение системного администратора о том, что подпись не может быть проверена. Диалоговое окно предоставляет администратору возможность устанавливать или не устанавливать пакет драйверов. Windows не отображает диалоговое окно для обычного пользователя и не предварительно устанавливает пакет драйверов для обычного пользователя.

Дополнительные сведения о подписях и установке драйверов см. в разделах Категории подписей и Установка драйвера.