允许加载已进行测试签名的驱动程序
默认情况下,Windows 不会加载测试签名的内核模式驱动程序。 若要更改此行为并启用测试签名的驱动程序以加载,请使用启动配置数据编辑器BCDEdit.exe启用或禁用 TESTIGNING(启动配置选项)。 必须具有管理员权限才能启用此选项。
注意
从 Windows Vista 开始,内核模式代码签名策略要求所有内核模式代码都具有在 64 位版本的 Windows 上加载的数字签名。 但是,在大多数情况下,可以在 32 位版本的 Windows 上安装并加载未签名的驱动程序。 有关详细信息,请参阅 驱动程序签名策略。
所需的管理员权限
若要使用 BCDEdit,你必须是系统上的 Administrators 组的成员,并从提升的命令提示符运行该命令。 若要打开提升的命令提示符窗口,请在 Windows 任务栏中的 搜索框中键入 cmd ,在搜索结果中选择并按住(或右键单击) 命令提示符 ,然后选择“ 以管理员身份运行”。
警告
使用 BCDEdit 修改启动配置数据需要管理权限。 使用 BCDEdit /set 更改某些启动项选项可能会使计算机不可操作。 或者,使用系统配置实用工具(MSConfig.exe)更改启动设置。
启用或禁用使用测试签名代码
运行 BCDEdit 命令行以启用或禁用测试签名代码的加载。 若要使更改生效,无论是启用或禁用该选项,都必须在更改配置后重新启动计算机。
若要启用测试签名代码,请使用以下 BCDEdit 命令行:
:: If this command results in "The value is protected by Secure Boot policy and cannot be modified or deleted"
:: Then reboot the PC, go into BIOS settings, and disable Secure Boot. BitLocker may also affect your ability to modify this setting.
Bcdedit.exe -set TESTSIGNING ON
注意
从 Windows 10 版本 1507 开始,如果已启用内存完整性/HVCI(虚拟机监控程序代码完整性),则必须使用任何自创建的测试证书对二进制文件进行测试签名。不支持无符号二进制文件。
若要禁用测试签名代码的使用,请使用以下 BCDEdit 命令行:
Bcdedit.exe -set TESTSIGNING OFF
下图显示了使用 BCDEdit 命令行启用测试签名的结果。
启用加载测试签名代码时的 Windows 行为
启用加载测试签名代码时,Windows 执行以下操作:
在桌面右下角显示带有文本“测试模式”的水印,提醒用户系统已启用测试签名。
由任何证书签名的操作系统加载器和内核加载驱动程序。 证书验证不需要链接到受信任的根证书颁发机构。 但是,每个驱动程序映像文件必须具有数字签名。