セキュアブートが有効になっているWindows 10バージョン1607でクロス署名カーネルドライバーを許可するにはどうすればよいですか?


13

Windows 10 Version 1607(別名Anniversary Update)は、2015年にWindows 10の要件として既に発表された厳格なカーネルドライバー認定を実施しています。カーネルドライバー開発者は、Extended Validation(EV)コード署名証明書を使用し、特定のテストに合格した後、ドライバーがMicrosoftによって署名されるWindows Hardware Developer Centerダッシュボードポータルにドライバーを送信する必要があります。

ただし、そのルールには例外があります。次のいずれかが当てはまる場合、クロス署名されたカーネルドライバー Windows 10バージョン1607で引き続き受け入れられます。

  • ドライバーは、2015年7月29日より前に発行された証明書で署名されています
  • ドライバーは起動ドライバーです
  • セキュアブートはオフです
  • Windows 10バージョン1607システムはアップグレードされ、直接インストールさていません
  • セキュアブートが有効になっているシステムでも、クロス署名されたドライバーをロードできる秘密のレジストリキーが設定されています

私の会社では、Windows 10バージョン1607をクリーンインストールしたシステムでいくつかのドライバーが無効になり、特定のIntelドライバーでさえ影響を受けるという問題があります。さらに、セキュアブートを有効にしたTianoCore UEFI BIOSを使用する高度にセキュリティ保護されたKVM仮想マシンは、デジタル署名エラーのためにVirtIOネットワークとバルーンドライバーをロードしなくなりました。

また、セキュアブートが無効になっているシステムや、セキュアブートが有効になっている場合でもバージョン1607に(インプレースで)アップグレードされたWindows 10システムでは、ドライバーが正常に動作することを確認できます。

今、私はその秘密のレジストリの名前と値が00 h 11 m 00 sで次のビデオで Microsoftによって発表されたものだと思っています:

チャンネル9-Plugfest28-Windowsクライアントおよびサーバーでのドライバー認証

...そして最後に、実際にレジストリキーを作成します...そして、このレジストリキーは...知っています...テストのためだけのものですので、絶対にこのレジストリを設定しないでください...ドライバーをインストールするときのキーと...レジストリキーは、アップグレードされたシステムがある場合と本質的に同じ動作を模倣します...

そのキーはマイクロソフトによって決して発表されませんでした、そしてOSRのntdevリストにある次のメッセージのために、私はこれが決して起こらないと信じています:

私はこれを言うのは嫌いですが、あなたが尋ねたので:レジストリキー情報はNDAの下でのみ利用可能です。つまり、おそらく最終的には多くの場所でオンラインになりますが、それまではここで説明しません

そして、これは私の実際のスーパーユーザーの質問に私を残します:

以前のバージョンからアップグレードされたことをWindows 10バージョン1607に伝える秘密のレジストリキーとは何ですか?


推測するのが危険な場合。以前のバージョンのWindowsから新しいバージョンのWindowsにアップグレードするときに常に使用されてきたものと同じキー。
ラムハウンド

1
@Ramhound ...どちらでしょうか?
ゴラム

誰がそのキーを使用しているのでしょうか?その存在は、特定の状況で使用するために外部の関係者に与えられることを示唆しています。それが本当なら、Microsoftに彼らに含まれるように頼むのは理にかなっていないでしょうか?

@Will Microsoftは、インプレースアニバーサリーアップデートを実行したWindows 10システムに、より厳しいドライバー署名ポリシーを適用しないために、そのキーを使用しています(アップデート前に動作していたシステムを無効にしたくない)。一方、このキーの存在は、人々が最終的に適所に置きたいと思うより厳しいポリシーを無効にする可能性があるため、セキュリティリスクと見なされる可能性があります。
ゴラム

これを試してみましたか?[HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows NT \ Driver Signing] BehaviorOnFailedVerifyキー値を「0」に変更します。
HackSlash

回答:


0

TESTSIGNINGブート構成オプションを試すことができます

Bcdedit.exe -set TESTSIGNING ON

Make sure to disable the Secure Boot and boot to OS to execute bcedit commands, once done you can reboot to OS with secure boot enabled

TESTSIGNINGブート構成オプションは、Windows Vista以降のバージョンのWindowsが、テスト署名されたカーネルモードコードの種類を読み込むかどうかを決定します。このオプションは既定では設定されていません。つまり、テスト署名されたカーネルモードドライバーは、64ビットバージョンのWindows Vistaおよびそれ以降のバージョンのWindowsでは既定で読み込まれません。

注:TESTSIGNINGブート構成オプションを変更した後、変更を有効にするためにコンピューターを再起動します。


カーネルは任意の証明書によって署名されたドライバーをロードし、検証は信頼されたルート証明機関にチェーンアップする必要がないため、テスト署名モードはオプションではありません。基本的には、新たにインストールされたシステムを、ドライバー署名検証ポリシーに関してアップグレードされたシステムのように動作させることに関する質問です。
ゴラム
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.