Windows Vista 和更新版本 (數位簽章和 PnP 裝置安裝)
在 Windows Vista 和更新版本的 Windows 上,隨插即用 (PnP) 裝置安裝會使用驅動程式套件類別目錄檔案的數位簽章來執行下列動作:
確認驅動程式套件發行者的身分識別。 Windows 會使用身分識別來允許使用者選擇是否信任驅動程式的發行者。
判斷驅動程式套件在發佈之後是否已改變。
Windows Vista 和更新版本的 Windows 上的 PnP 裝置安裝支援下列驅動程式 套件的數位簽章類型:
可用於發行至一般公用之驅動程式套件的簽章類型:
- Windows 簽署授權單位所產生的簽章:
- 收件匣驅動程式套件
- 透過 Windows 硬體品質實驗室認證並簽署的驅動程式套件 (WHQL)
- Windows 持續工程 (SE) 更新。
- 不是由 Windows 簽署授權單位產生的簽章,但符合 PnP 裝置安裝簽署需求。
- Windows 簽署授權單位所產生的簽章:
僅在公司網路環境中部署驅動程式套件的簽章,這些套件是由企業 CA 所建立和管理的數位憑證所建立。 有關如何設定企業 CA 的詳細資訊不在這份檔的範圍之外。
如需如何建立企業 CA 的資訊,請參閱 程式碼簽署最佳做法。
在開發和測試驅動程式期間,可在內部使用的簽章類型:
- WHQL 測試簽章程式所產生的簽章
- MakeCert 測試憑證所產生的簽章
- 由商業測試憑證所建立的簽章,該憑證是從屬於 Microsoft 根憑證計畫成員的 CA 取得
- 企業 CA 測試憑證所產生的簽章
Windows Vista 和更新版本的 Windows 包含下列功能,可支援協力廠商所產生的簽章:
系統管理員可以控制哪些驅動程式發行者受信任。 Windows Vista 和更新版本的 Windows 會從受信任的發行者安裝驅動程式,而不提示。 它永遠不會從系統管理員選擇不信任的發行者安裝驅動程式。
驅動程式簽署原則一律設定為 [警告]。 這可排除 Windows Server 2003、Windows XP 和 Windows 2000 中可用的 [忽略 ] 和 [ 封鎖 ] 選項。 系統管理員一律必須授權從尚未信任的發行者安裝未簽署的驅動程式或驅動程式。
所有 裝置安裝類別 都會平均處理。 在 Windows Server 2003、Windows XP 和 Windows 2000 上,由 WHQL 簽署的驅動程式套件必須有 INF 檔案,以指定 %SystemRoot%/inf/Certclas.inf中定義的裝置安裝類別。 否則,Windows 會將驅動程式套件視為未簽署。
從 Windows Vista 開始,有數個相容的驅動程式套件可供選擇時,作業系統用來選取最佳驅動程式套件的排名演算法包含具有協力廠商簽章的驅動程式套件。
此演算法會以下列方式排名驅動程式套件:
- 如果停用 AllSignersEqual 群組原則 ,作業系統會將以 Microsoft 簽章簽署的驅動程式套件排名高於使用協力廠商簽章簽署的驅動程式套件。 即使使用協力廠商簽章簽署的驅動程式套件,所有其他方式都會比對裝置更好,仍會發生此排名。
- 如果已啟用 AllSignersEqual 群組原則 ,作業系統會將所有數位簽署的驅動程式套件排名相同。
注意 從 Windows 7 開始,預設會啟用 AllSignersEqual 群組原則 。 在 Windows Vista 和 Windows Server 2008 中,預設會停用 AllSignersEqual 群組原則。 IT 部門可以啟用或停用 AllSignersEqual 群組原則來覆寫預設排名行為。
安裝驅動程式套件之前,Windows 會分析 驅動程式套件的 數位簽章。 如果簽章存在,Windows 會使用簽章來驗證驅動程式套件中的檔案。 根據此分析的結果,Windows 會將數位簽章分類如下:
由 Windows 簽署授權單位簽署。 這些驅動程式套件包含在 Windows (收件匣驅動程式 的預設安裝中,) 、由 WHQL 簽署發行,或由 Windows SE 簽署。
由受信任的發行者簽署。 這些驅動程式套件已由協力廠商封緘,而且使用者已明確選擇一律信任此發行者的已簽署驅動程式套件。
由不受信任的發行者簽署。 這些驅動程式套件已由協力廠商封緘,而且使用者已明確選擇不信任此發行者的驅動程式套件。
由未知信任的發行者簽署。 這些驅動程式套件已由協力廠商封緘,而且使用者尚未指出是否信任此發行者。
改變。 這些驅動程式套件已簽署,但 Windows 偵測到在簽署套件之後,驅動程式 套件 中至少有一個檔案已改變。
符號。 這些驅動程式套件不帶正負號或簽章無效。 有效的簽章必須使用受信任的 CA 所簽發的憑證來建立。
從 Windows Vista 開始,當作業系統第一次在電腦上安裝驅動程式套件時,它會預先安裝驅動程式 存放區中的驅動程式或階段。 Windows 接著會使用驅動程式存放區中的驅動程式套件複本,以無訊息方式安裝相符裝置的驅動程式套件。 Windows 為裝置安裝預先安裝驅動程式套件時,不需要使用者互動。
Windows 是否會預先安裝 驅動程式套件 取決於簽章類別、使用者認證和使用者互動,如下所示:
由 Windows 簽署授權單位或受信任的發行者簽署。 Windows 會以無訊息方式預先安裝系統管理員和標準使用者的驅動程式套件, (沒有系統管理員認證的使用者) 。 Windows 不會顯示任何使用者對話方塊。
由不受信任的發行者簽署。 Windows 不會預先安裝驅動程式套件。
由未知信任的發行者簽署。 Windows 會顯示對話方塊給系統管理員,告知系統管理員驅動程式套件的發行者尚未受到信任。 對話方塊提供系統管理員安裝驅動程式套件的選項,以及一律信任發行者的選項。 Windows 不會對標準使用者顯示對話方塊,也不會預先安裝標準使用者的驅動程式套件。
已改變或未簽署。 Windows 會顯示一個對話方塊,適當地警告系統管理員無法驗證簽章。 對話方塊會提供系統管理員安裝或不要安裝驅動程式套件的選項。 Windows 不會對標準使用者顯示對話方塊,也不會預先安裝標準使用者的驅動程式套件。
如需驅動程式簽章和安裝的詳細資訊,請參閱 簽章類別和驅動程式安裝。