Windows 10 Version 1607 (auch bekannt als Anniversary Update) erzwingt jetzt die verschärfte Kernel-Treiberzertifizierung, die bereits 2015 als Voraussetzung für Windows 10 angekündigt wurde. Die neue Regel lautet, dass alle Windows 10-Treiber von Microsoft digital signiert werden müssen, keine Cross-Signierung mehr! Entwickler von Kerneltreibern müssen jetzt ein EV-Codesignaturzertifikat (Extended Validation) verwenden und ihre Treiber an das Windows Hardware Developer Center-Dashboardportal senden, wo die Treiber nach Bestehen bestimmter Tests von Microsoft signiert werden.
Es gibt jedoch Ausnahmen von dieser Regel. Cross-Signed-Kernel-Treiber werden von Windows 10 Version 1607 weiterhin akzeptiert, wenn eine der folgenden Bedingungen erfüllt ist:
- Der Fahrer ist mit einem Zertifikat versehen, das vor dem 29. Juli 2015 ausgestellt wurde
- Der Treiber ist ein Boot-Up-Treiber
- Sicherer Start ist ausgeschaltet
- Das Windows 10-System der Version 1607 wurde aktualisiert und nicht direkt installiert
- Es ist ein geheimer Registrierungsschlüssel festgelegt, mit dem signierte Treiber auch auf Systemen mit aktiviertem Secure Boot geladen werden können
In meiner Firma haben wir das Problem, dass auf Treibern, die eine saubere Installation von Windows 10 Version 1607 erhalten haben, jetzt mehrere Treiber deaktiviert sind und sogar bestimmte Intel-Treiber betroffen sind. Darüber hinaus laden hochsichere virtuelle KVM-Maschinen, die das TianoCore UEFI-BIOS mit aktiviertem sicherem Start verwenden, das VirtIO-Netzwerk und die Ballon-Treiber aufgrund von Fehlern bei der digitalen Signatur nicht mehr.
Und ich kann bestätigen, dass die Treiber auf Systemen mit deaktiviertem sicherem Start und auf Windows 10-Systemen, die (direkt) auf Version 1607 aktualisiert wurden, auch bei aktiviertem sicherem Start einwandfrei funktionieren.
Jetzt frage ich mich, wie der Name und der Wert dieser geheimen Registrierung lauten, die Microsoft im folgenden Video um 00 h 11 m 00 s angekündigt hat :
Kanal 9 - Plugfest28 - Treiberzertifizierung unter Windows-Client und -Server
... und schließlich haben wir tatsächlich einen Registrierungsschlüssel ... und dieser Registrierungsschlüssel ist ... Sie wissen ... nur zum Testen gedacht, also möchten wir definitiv nicht, dass Sie ... diese Registrierung festlegen Schlüssel, während Sie den Treiber installieren und ... der Registrierungsschlüssel im Wesentlichen das gleiche Verhalten nachahmt, als ob Sie ein aktualisiertes System haben ...
Dieser Schlüssel wurde von Microsoft nie angekündigt, und aufgrund der folgenden Meldung in der ntdev-Liste von OSR glaube ich, dass dies niemals passieren wird:
Ich hasse es, das zu sagen, aber da Sie gefragt haben: Die Registrierungsschlüsselinformationen sind nur unter NDA verfügbar . Das heißt, es wird wahrscheinlich irgendwann an vielen Orten online auftauchen, aber bis dahin werden wir hier NICHT darüber diskutieren .
Und das lässt mich bei meiner eigentlichen Super User Frage zurück:
Was ist dieser geheime Registrierungsschlüssel, der Windows 10 Version 1607 mitteilt, dass er von einer früheren Version aktualisiert wurde?
BehaviorOnFailedVerify
Schlüsselwert in " 0
".