ラップトップの所有者の許可なしにMicrosoft署名付きドライバーをインストールできます。Microsoft証明書で十分です(出典:xkcd.com)
昨年、Microsoft は 、Windows 10のリリースに伴い、Microsoftのデジタル署名を受け取るには、すべての新しいカーネルモードドライバーをWindows Hardware Developer Centerで確認する必要があると発表しました。 多くの問題により、このイノベーションは発効せず、通知のみが残りました。
現在、会社はこの変更を実装することを決定しました 。 Windows 10オペレーティングシステムのバージョン1607以降、OSはWindows Hardware Developer Centerで署名されていない新しいカーネルモードドライバーをロードしません。 オペレーティングシステムのクリーンインストールについてのみ説明し、Windows OSの以前のバージョンからWindows 10へのアップグレードについては説明しません。この場合、バージョン1607はポリシーの変更による影響を受けません。
同社は、Windowsをより安全なオペレーティングシステムにするには変更が必要であると主張しています。 マイクロソフトによると、署名されたカーネルドライバーのみのブートモードの導入により、マルウェアがシステムによって侵害されるリスクが大幅に減少しました。
ドライバー開発者の場合、ドライバーに署名するには、次の手順を実行する必要があります。
1. Windows Hardware Developer CenterからMicrosoftドライバーを送信してください。
2. 拡張検証(EV)コード署名証明書を使用して、ドライバー認証プロセスを開始します。 検証のためにダウンロードする予定のすべてのドライバーは、EV証明書で署名する必要があります。
Microsoftは、開発者またはユーザーから生じる可能性のある追加の質問に対する一連の回答を公開しています。
1つの質問は、例外と相互認証ドライバーに関するものです。
- 前述のように、ドライバー署名ポリシーの変更はWindows 10のクリーンインストールにのみ適用され、OSの以前のバージョンからの更新には適用されません。 後者の場合、クロスドライバー証明書も有効です。
- セキュアブートが無効になっているPCも、このようなドライバーのインストールをスキップします。
- 2015年7月29日までに相互認証を取得したドライバーは引き続き有効です。
Windowsの他のバージョンに関しては、変更はWindows 10バージョン1607にのみ関連します。同時に、ドライバーはEV証明書でのみWindows Hardware Developer Centerにダウンロードできます。
いずれにせよ、開発者がテストマシンでドライバーを確認することにした場合、いずれにしても、適切なツールを使用してドライバーをインストールし、セキュアブートモードをオフにして証明書に自分で署名する必要があります。