Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Seus drivers devem ser assinados com um certificado antes de você enviá-los para o painel de hardware. Sua organização pode associar qualquer número de certificados à sua conta de painel e cada um dos seus envios deve ser assinado com qualquer um desses certificados. Não há nenhuma restrição ao número de certificados (EV (validação estendida) e Standard) associados à sua organização.
Este artigo fornece informações gerais sobre os tipos de assinatura de código disponíveis para seus drivers e os requisitos associados para esses drivers.
Para obter informações mais abrangentes sobre os requisitos de assinatura do driver, consulte as seguintes páginas:
- Alterações de assinatura de drivers no Windows 10
- Alterações na Assinatura de Driver no Windows 10, versão 1607
- Atualização sobre o requisito do Certificado EV do Sysdev
Onde obter certificados de assinatura de código EV
Os certificados de assinatura de código EV podem ser comprados de uma das seguintes autoridades de certificação:
- Certificado de assinatura de código certum EV
- Certificado de assinatura de código DigiCert EV
- Certificado de assinatura de código GlobalSign EV
- Certificado de assinatura de código IdenTrust EV
- Certificado de assinatura de código EV do Sectigo (anteriormente comodo)
- SSL.com certificado de assinatura de código EV
Drivers assinados pelo certificado EV
Sua conta de painel do Centro de Desenvolvimento de Hardware deve ter pelo menos um certificado EV associado a ele para enviar binários para assinatura de atestado ou enviar binários para certificação HLK.
As seguintes regras se aplicam:
- O certificado EV registrado deve ser válido no momento do envio.
- Embora a Microsoft recomende fortemente que você assine envios individuais com um certificado EV, você pode, como alternativa, assinar envios com um certificado de assinatura do Authenticode que também esteja registrado em sua conta do Partner Center.
- Todos os certificados devem usar o algoritmo SHA2 e ser assinados com o argumento de linha de comando
/fd sha256do SignTool.
Se você já tiver um certificado EV aprovado de uma autoridade de certificação, poderá usá-lo para estabelecer uma conta do Partner Center. Se você não tiver um certificado EV, escolha uma das autoridades de certificação e siga suas instruções para compra.
Depois que a autoridade de certificação verificar suas informações de contato e sua compra de certificado for aprovada, siga suas instruções para recuperar o certificado.
Drivers testados pelo HLK e assinados pelo painel
Um driver assinado pelo painel de controle, que foi aprovado nos testes HLK, funciona no Windows Vista e versões posteriores, incluindo as edições do Windows Server. O teste de HLK é o método recomendado para assinatura de driver, pois assina o driver para todas as versões dos sistemas operacionais. Os drivers testados pela HLK demonstram que um fabricante testa rigorosamente seu hardware para atender a todos os requisitos da Microsoft em relação à confiabilidade, segurança, eficiência de energia, capacidade de serviço e desempenho, para fornecer uma ótima experiência do Windows. O teste inclui a conformidade com os padrões do setor e a conformidade com as especificações da Microsoft para recursos específicos da tecnologia, ajudando a garantir a instalação, a implantação, a conectividade e a interoperabilidade corretas. Para saber como desenvolver um driver testado pelo HLK para envio no painel, consulte Introdução ao Windows HLK.
Drivers assinados por atestado do Windows 10 para cenários de teste
A instalação do dispositivo Windows usa assinaturas digitais para verificar a integridade dos pacotes de driver e a identidade do editor de software que fornece os pacotes de driver.
Somente para fins de teste, você pode enviar seus drivers para assinatura de atestado, o que não requer testes HLK.
A assinatura de atestado tem as seguintes restrições e requisitos:
Drivers certificados não podem ser publicados no Windows Update para usuários finais. Para publicar um driver no Windows Update para públicos de varejo, você deve enviar seu driver por meio do WHCP (Programa de Compatibilidade de Hardware do Windows). Há suporte para a publicação de drivers assinados por atestado no Windows Update para fins de teste selecionando as opções CoDev ou Chave de Registro de Teste / SSRK do Surface.
A assinatura de atestado só funciona na Área de Trabalho do Windows 10 e nas versões posteriores do Windows.
A assinatura de atestado dá suporte ao modo kernel da Área de Trabalho do Windows 10 e aos drivers de modo de usuário. Embora os drivers de modo de usuário não precisem ser assinados pela Microsoft para Windows 10, o mesmo processo de atestado pode ser usado para drivers de modo de usuário e kernel. Para drivers que precisam ser executados em versões anteriores do Windows, você deve enviar logs de teste HLK/HCK para certificação do Windows.
A assinatura de atestação não retorna o nível PE adequado para os binários PE do ELAM ou Windows Hello. Esses binários devem ser testados e enviados como pacotes .hlkx para receber os atributos de assinatura extra.
A assinatura de atestado requer o uso de um Certificado de Validação Estendida (EV) para enviar o driver para o Partner Center (Painel do Centro de Desenvolvimento de Hardware).
A assinatura de atestado requer que os nomes das pastas do driver não contenham caracteres especiais, nenhum caminho de compartilhamento de arquivo UNC e tenha menos de 40 caracteres.
Quando um driver recebe a assinatura de confirmação, ele não está certificado pelo Windows. Uma assinatura de atestado da Microsoft indica que o driver é confiável pelo Windows. No entanto, como o driver não foi testado no HLK Studio, não há garantias sobre compatibilidade, funcionalidade e assim por diante. Um driver que recebe assinatura de certificação não pode ser publicado para consumidores por meio do Windows Update. Se você quiser publicar seu driver para públicos de varejo, envie seu driver por meio do WHCP (Programa de Compatibilidade de Hardware do Windows).
O DUA (Atualização de Driver Aceitável) não dá suporte a drivers assinados usando o atestado.
Os seguintes níveis de PE e binários podem ser processados por meio do Atestado:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .xpi
- .xap
Para obter informações sobre como criar um driver com assinatura por atestado para drivers Windows 10+, consulte Assinatura por atestado para drivers Windows 10+.
Drivers assinados do Windows Server
- O Windows Server 2016 e versões posteriores não aceitam submissões de assinatura de drivers de dispositivos atestados e de filtros.
- O painel só assina o dispositivo e filtra os drivers que passam com êxito nos testes do HLK.
- O Windows Server 2016 e posteriores só carrega drivers assinados pelo Dashboard que são aprovados nos testes do HLK.
Controle de Aplicativos do Windows Defender
As empresas podem implementar uma política para modificar os requisitos de assinatura de driver usando o Windows 10 Enterprise Edition. O WDAC (Controle de Aplicativos do Windows Defender) fornece uma política de integridade de código definida pela empresa, que pode ser configurada para exigir pelo menos um driver assinado por atestado. Para obter mais informações sobre o WDAC, consulte Planejamento e introdução ao processo de implantação do Controle de Aplicativos do Windows Defender.
Requisitos de assinatura do driver do Windows
A tabela a seguir resume os requisitos de assinatura do driver para o Windows:
| Versão | Painel de Atestação Assinado | Painel do teste HLK aprovado e assinado | Assinado cruzadamente usando um certificado SHA-1 emitido antes de 29 de julho de 2015 |
|---|---|---|---|
| Windows Vista | Não | Sim | Sim |
| Windows 7 | Não | Sim | Sim |
| Windows 8/8.1 | Não | Sim | Sim |
| Windows 10 | Sim | Sim | Não (a partir do Windows 10 1809) |
| Windows 10 – DG Habilitado | *Dependente de configuração | *Dependente de configuração | *Dependente de configuração |
| Windows Server 2008 R2 | Não | Sim | Sim |
| Windows Server 2012 R2 | Não | Sim | Sim |
| Windows Server >= 2016 | Não | Sim | Sim |
| Windows Server >= 2016 – DG Habilitado | *Dependente de configuração | *Dependente de configuração | *Dependente de configuração |
| Windows IoT Enterprise | Sim | Sim | Sim |
| Windows IoT Enterprise - DG Habilitado | *Dependente de configuração | *Dependente de configuração | *Dependente de configuração |
| Windows IoT Core(1) | Sim (não obrigatório) | Sim (não obrigatório) | Sim (a assinatura cruzada também funcionará para certificados emitidos após 29 de julho de 2015) |
*Configuração dependente – com o Windows 10 Enterprise Edition, as organizações podem usar o WDAC (Controle de Aplicativos do Windows Defender) para definir requisitos de assinatura personalizados. Para obter mais informações sobre o WDAC, consulte Planejamento e introdução ao processo de implantação do Controle de Aplicativos do Windows Defender.
(1) A assinatura de driver é necessária para fabricantes que criam produtos de varejo (ou seja, não para fins de desenvolvimento) utilizando o IoT Core. Para obter uma lista de CAs (Autoridades de Certificação) aprovadas, consulte Certificados Cruzados para Assinatura de Código do Modo Kernel. Se a Inicialização Segura UEFI estiver ativada, os drivers deverão ser assinados.