驅動程式簽署原則
注意
從 1607 版Windows 10開始,Windows 將不會載入任何未由開發人員入口網站簽署的新核心模式驅動程式。 若要簽署驅動程式,請先 註冊 Windows 硬體開發人員中心計畫。 請注意,需要 EV 程式碼簽署憑證 才能建立儀表板帳戶。
有許多不同方式可將驅動程式提交至入口網站。 針對生產驅動程式,您應該提交 HLK/HCK 測試記錄,如下所述。 若要在僅限用戶端系統上測試Windows 10,您可以提交驅動程式以進行證明簽署,這不需要 HLK 測試。 或者,您可以提交驅動程式以進行測試簽署,如 建立新的硬體提交 頁面所述。
例外狀況
如果下列任一項成立,仍允許交叉簽署的驅動程式:
- 電腦已從舊版 Windows 升級至 Windows 10 1607 版。
- BIOS 中的安全開機已關閉。
- 驅動程式已使用 2015 年 7 月 29 日之前發行的終端實體憑證簽署,該憑證會鏈結至支援的交叉簽署 CA。
為了避免系統無法正確開機,不會封鎖開機驅動程式,但程式相容性小幫手將會移除它們。
簽署適用于 Windows 用戶端版本的驅動程式
若要簽署適用于 Windows 10 的驅動程式,請遵循下列步驟:
- 針對您想要認證的每個Windows 10版本,請下載該版本的 Windows HLK (Hardware Lab Kit) ,並針對該版本的用戶端執行完整的憑證傳遞。 每個版本都會有一個記錄檔。
- 如果您有多個記錄,請使用最新的 HLK 將它們合併成單一記錄。
- 將驅動程式和合併的 HLK 測試結果提交至 Windows 硬體開發人員中心儀表板入口網站。
如需特定版本的詳細資料,請檢閱您想要鎖定之 Windows 版本的 WHCP (Windows 硬體相容性計畫) 原則 。
若要簽署適用于 Windows 7、Windows 8或Windows 8.1的驅動程式,請使用適當的 HCK (硬體認證套件) 。 如需詳細資訊,請參閱 Windows 硬體認證套件使用者指南。
簽署舊版 Windows 的驅動程式
在Windows 10版本 1607 之前,下列驅動程式類型需要與 Microsoft 交叉簽署的跨憑證搭配使用的 Authenticode 憑證:
- 核心模式設備磁碟機
- 使用者模式設備磁碟機
- 串流受保護內容的驅動程式。 這包括使用受保護使用者模式音訊 (PUMA) 和 PROTECTED Audio Path (PAP) 的音訊驅動程式,以及處理受保護視訊路徑輸出保護管理 (PVP-OPM) 命令的視訊設備磁碟機。 如需詳細資訊,請參閱 受保護媒體元件的程式碼簽署。
依版本排序的簽署需求
下表顯示用戶端作業系統版本的簽署原則。
請注意,安全開機不適用於 Windows Vista 和 Windows 7。
| 適用於: | Windows Vista、Windows 7;Windows 8+ 安全開機 | Windows 8、Windows 8.1、Windows 10版本 1507、1511 及安全開機 | Windows 10版本 1607、1703、1709,安全開機 | Windows 10版本 1803+ 且具有安全開機 |
|---|---|---|---|---|
| 架構: | 僅限 64 位,32 位不需要簽章 | 64 位、32 位 | 64 位、32 位 | 64 位、32 位 |
| 需要簽章: | 內嵌或目錄檔案 | 內嵌或目錄檔案 | 內嵌或目錄檔案 | 內嵌或目錄檔案 |
| 簽章演算法: | SHA2 | SHA2 | SHA2 | SHA2 |
| 證書: | 程式碼完整性信任的標準根目錄 | 程式碼完整性信任的標準根目錄 | Microsoft Root Authority 2010、Microsoft 根憑證授權單位、Microsoft 根授權單位 | Microsoft Root Authority 2010、Microsoft 根憑證授權單位、Microsoft 根授權單位 |
除了驅動程式程式碼簽署之外,您也需要符合安裝驅動程式的 PnP 裝置安裝簽署需求。 如需詳細資訊,請參閱隨插即用 (PnP) 裝置安裝簽署需求。
如需簽署 ELAM 驅動程式的相關資訊,請參閱早期啟動反惡意程式碼。