Como eu permito drivers de kernel com assinatura cruzada no Windows 10 versão 1607 com inicialização segura habilitada?

11

O Windows 10 versão 1607 (também conhecido como Anniversary Update) está reforçando a certificação de driver de kernel, já anunciada em 2015 como um requisito para o Windows 10. A nova regra é que todos os drivers do Windows 10 devem ser assinados digitalmente pela Microsoft, não mais Cruz assinatura! Os desenvolvedores de drivers do kernel agora devem usar um certificado de assinatura de código Extended Validation (EV) e enviar seus drivers para o Portal do Painel da Central de Desenvolvedores de Hardware do Windows, no qual os drivers serão assinados pela Microsoft após passarem determinados testes.

No entanto, existem exceções a essa regra. Os drivers do kernel com assinatura cruzada ainda são aceitos pelo Windows 10 versão 1607 se qualquer um dos seguintes for verdadeiro:

  • O driver é assinado com um certificado emitido antes de 29 de julho de 2015
  • O driver é um driver de inicialização
  • A inicialização segura está desativada
  • O sistema do Windows 10 versão 1607 foi atualizado e não foi instalado diretamente
  • É definida uma chave de registro secreta que permite que drivers com assinatura cruzada sejam carregados até mesmo em sistemas com inicialização segura ativada

Na minha empresa, temos o problema de vários drivers estarem desativados em sistemas que receberam uma instalação limpa do Windows 10 versão 1607 e até mesmo alguns drivers da Intel foram afetados. Além disso, máquinas virtuais KVM altamente seguras que usam o BIOS UEFI TianoCore com inicialização segura ativada agora não carregam os drivers de rede e balão VirtIO devido a erros de assinatura digital.

E posso confirmar que os drivers funcionam bem em sistemas com inicialização segura desativada e em sistemas Windows 10 que foram atualizados (no local) para a versão 1607, mesmo com inicialização segura ativada.

Agora estou me perguntando qual é o nome e o valor desse registro secreto anunciado pela Microsoft no seguinte vídeo em 00 h 11 m 00 s :

Canal 9 - Plugfest28 - Driver-Certificação- no Windows-Client-and-Server

... and then finally we are actually going to have a registry key ... and this registry key is ... you know ... intended just for testing so we definitely don't want you to ... setting this registry key as you install the driver and ... the registry key essentially mimics the same behavior as if you have an upgraded system ...

Essa chave nunca foi anunciada pela Microsoft e por causa da seguinte mensagem na lista de ntdev do OSR eu acredito isso nunca acontecerá:

I hate to say this, but since you asked: The registry key information is only available under NDA. Which means it'll probably turn-up in lots of places online eventually, but until that time WE WILL NOT be discussing it here.

E isso me deixa na minha pergunta real sobre Superusuários:

Qual é a chave de registro secreta que informa ao Windows 10 versão 1607 que ele foi atualizado de uma versão anterior?

    
por gollum 15.08.2016 / 13:14

1 resposta

1

você pode tentar a opção de configuração de inicialização TESTSIGNING

Bcdedit.exe -set TESTSIGNING ON

Make sure to disable the Secure Boot and boot to OS to execute bcedit commands, once done you can reboot to OS with secure boot enabled

A opção de configuração de inicialização TESTSIGNING determina se o Windows Vista e versões posteriores do Windows carregarão qualquer tipo de código de modo de kernel assinado por teste. Essa opção não é definida por padrão, o que significa que os drivers de modo kernel assinados por teste não serão carregados por padrão nas versões de 64 bits do Windows Vista e versões posteriores do Windows.

Nota Depois de alterar a opção de configuração de inicialização TESTSIGNING, reinicie o computador para que a alteração entre em vigor.

    
por 18.09.2018 / 16:46