Категории подписей и установка драйвера
Перед тем как Windows Vista и более поздние версии Windows поставить пакет драйвера в хранилище драйверов и установить пакет драйвера на устройстве, операционная система анализирует сигнатуру пакета драйвера. При наличии сигнатуры Windows проверяет все файлы пакета драйвера на соответствие этой подписи. На основе результатов этого анализа Windows помещает пакет драйверов в одну из следующих категорий:
Подписан центром подписывания Microsoft Windows.
Эти пакеты драйверов являются папкой "Входящие", подписаны WHQL или windows Sustained Engineering.
Подписан доверенным издателем.
Эти пакеты драйверов были подписаны сторонним разработчиком, и пользователь явно выбрал всегда доверять подписанным пакетам драйверов от этого издателя.
Подписан ненадежным издателем.
Эти пакеты драйверов были подписаны сторонним разработчиком, и пользователь явно выбрал не доверять пакетам драйверов от этого издателя.
Подписан издателем неизвестного доверия.
Эти пакеты драйверов были подписаны сторонним разработчиком, и пользователь не указал, следует ли доверять этому издателю.
Изменены.
Эти пакеты драйверов подписаны, но Windows обнаружила, что по крайней мере один файл в пакете драйверов был изменен с момента подписания пакета.
Без знака.
Эти пакеты драйверов либо не подписаны, либо имеют недопустимую подпись. Допустимые подписи должны создаваться с помощью сертификата, выданного доверенным центром сертификации (ЦС).
После классификации пакета драйверов Windows определяет, следует ли поместить его в хранилище драйверов и установить на устройстве. Процесс зависит от типа пользователя, который инициировал действие пакета драйвера. Для пользователей, не являющихся администраторами и обычными, Windows не запрашивает пользователя. Он автоматически устанавливает пакеты драйверов, подписанные с помощью центра подписывания Windows или доверенного издателя, и автоматически отказывается устанавливать все остальные.
Пользователи с правами администратора обладают большей гибкостью:
Если пакет драйвера подписан центром подписывания Windows или доверенным издателем, Windows выполняет этапы и устанавливает пакет драйвера без запроса пользователя.
Если пакет драйвера подписан ненадежным издателем, Windows не устанавливает пакет драйвера. Windows не запрашивает пользователя в этом случае, но регистрирует ошибку в Setupapi.dev.log.
Если пакет драйвера подписан издателем с неизвестным доверием, Windows предлагает пользователю следующее диалоговое окно Безопасность Windows.
Пользователь должен явно выбрать, следует ли устанавливать этот пакет драйверов. Пользователь также может добавить издателя в список доверенных издателей в системе пользователя. Если пользователь выбирает этот параметр, все будущие пакеты драйверов от этого издателя считаются доверенными при установке в системе пользователя. Если пользователь не выберет этот параметр, издатель остается в категории неизвестного доверия, и пользователи с правами администратора продолжают получать этот запрос при попытке установить дополнительные пакеты драйверов от этого издателя.
Если в пакете драйвера отсутствует действительная подпись или он был изменен, Windows запрашивает у администраторов следующее диалоговое окно Безопасность Windows. Опять же, пользователь должен явно выбрать, следует ли устанавливать пакет драйвера.
Примечание В Windows Vista и более поздних версиях Windows, чтобы пользователи воспроизводили премиум-содержимое следующего поколения, например HD DVD-диск и другие форматы, которые лицензируются в соответствии со спецификацией расширенной системы содержимого доступа (AACS), все компоненты режима ядра в их системе должны быть подписаны. Это означает, что если пользователь с правами администратора установит неподписанный или измененный пакет драйверов, системе не разрешено воспроизводить содержимое уровня "Премиум". Дополнительные сведения о защите компонентов мультимедиа в Windows Vista см. в статье Подписывание кода для компонентов защищенного мультимедиа в Windows Vista.