Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os seus drivers devem ser assinados com um certificado antes de enviá-los para o painel de hardware. Sua organização pode associar qualquer número de certificados à sua conta do painel, e cada um dos seus envios deve ser assinado com qualquer um desses certificados. Não há restrição quanto ao número de certificados (validação estendida (EV) e Padrão) associados à sua organização.
Este artigo fornece informações gerais sobre os tipos de assinatura de código disponíveis para seus drivers e os requisitos associados para esses drivers.
Para obter informações mais abrangentes sobre os requisitos de assinatura de driver, consulte as seguintes páginas:
- Alterações na assinatura de drivers no Windows 10
- Alterações na assinatura de drivers do Windows 10, versão 1607
- Atualização sobre o requisito do Certificado Sysdev EV
Onde obter certificados de assinatura de código EV
Os certificados de assinatura de código EV podem ser adquiridos de uma das seguintes autoridades de certificação:
- certificado de assinatura de código Certum EV
- Certificado de assinatura de código DigiCert EV
- Certificado de assinatura de código GlobalSign EV
- Certificado de assinatura de código IdenTrust EV
- Certificado de assinatura de código EV Sectigo (anteriormente Comodo)
- SSL.com certificado de assinatura de código EV
Drivers com certificado EV assinado
Sua conta do painel do Centro de Desenvolvimento de Hardware deve ter pelo menos um certificado EV associado a ela para enviar binários para assinatura de atestado ou para enviar binários para certificação HLK.
Aplicam-se as seguintes regras:
- O seu certificado EV registado deve ser válido no momento da submissão.
- Embora a Microsoft recomende vivamente que assine envios individuais com um certificado EV, pode alternativamente assinar envios com um certificado de assinatura Authenticode que também está registado na sua conta do Partner Center.
- Todos os certificados devem ser SHA2 e assinados com a opção de linha de comando SignTool
/fd sha256.
Se você já tiver um certificado EV aprovado de uma autoridade de certificação, poderá usá-lo para estabelecer uma conta do Partner Center. Se você não tiver um certificado EV, escolha uma das autoridades de certificação e siga as instruções de compra.
Depois que a autoridade de certificação verificar suas informações de contato e sua compra de certificado for aprovada, siga as instruções para recuperar o certificado.
Drivers testados e assinados pelo painel HLK
Um driver assinado pelo Dashboard que passou nos testes HLK funciona no Windows Vista e nas versões posteriores, incluindo as edições do Windows Server. O teste HLK é o método recomendado para a assinatura de controladores, porque permite a assinatura de um controlador para todas as versões do sistema operativo. Os drivers testados pela HLK demonstram que um fabricante testa rigorosamente seu hardware para atender a todos os requisitos da Microsoft em relação à confiabilidade, segurança, eficiência energética, facilidade de manutenção e desempenho, para fornecer uma ótima experiência do Windows. Os testes incluem conformidade com os padrões do setor e aderência às especificações da Microsoft para recursos específicos da tecnologia, ajudando a garantir a instalação, implantação, conectividade e interoperabilidade corretas. Para saber como criar um driver testado com HLK para submissão no dashboard, consulte Introdução ao HLK do Windows.
Drivers de certificação autenticados do Windows 10 para cenários de teste
A instalação do dispositivo Windows usa assinaturas digitais para verificar a integridade dos pacotes de driver e a identidade do editor de software que fornece os pacotes de driver.
Apenas para fins de teste, você pode enviar seus drivers para assinatura de atestado, que não requer teste HLK.
A assinatura do atestado tem as seguintes restrições e requisitos:
Os drivers assinados por atestado não podem ser publicados no Windows Update para públicos de varejo. Para publicar um driver no Windows Update para públicos de varejo, você deve enviar seu driver por meio do Programa de Compatibilidade de Hardware do Windows (WHCP). A publicação de drivers de atestado assinados no Windows Update para fins de teste é suportada ao selecionar as opções CoDev ou Test Registry Key/Surface SSRK.
A assinatura de atestado só funciona no Windows 10 Desktop e em versões posteriores do Windows.
A assinatura de atestado suporta o modo kernel do Windows 10 Desktop e drivers de modo de usuário. Embora os drivers de modo de usuário não precisem ser assinados pela Microsoft para o Windows 10, o mesmo processo de atestado pode ser usado para drivers de modo kernel e de usuário. Para drivers que precisam ser executados em versões anteriores do Windows, você deve enviar logs de teste HLK/HCK para certificação do Windows.
A assinatura de atestação não retorna o nível PE apropriado para os binários PE de ELAM ou Windows Hello. Esses binários devem ser testados e enviados como pacotes .hlkx para receber os atributos de assinatura extras.
A assinatura de atestado requer o uso de um Certificado de validação estendida (EV) para enviar o driver ao Partner Center (Painel do Centro de Desenvolvimento de Hardware).
A assinatura de atestado requer que os nomes das pastas do driver não contenham caracteres especiais, nenhum caminho de compartilhamento de arquivos UNC e tenham menos de 40 caracteres.
Quando um driver recebe uma assinatura de certificação, ele não é certificado para o Windows. Uma assinatura de atestado da Microsoft indica que o driver é confiável para o Windows. Mas como o driver não foi testado no HLK Studio, não há garantias feitas em relação à compatibilidade, funcionalidade e assim por diante. Um driver que recebe assinatura de certificação não pode ser publicado para públicos de consumo por meio do Windows Update. Se você deseja publicar seu driver para públicos de varejo, você deve enviar seu driver por meio do Programa de Compatibilidade de Hardware do Windows (WHCP).
DUA (Driver Update Acceptable) não suporta controladores assinados usando atestação.
Os seguintes níveis de PE e binários podem ser processados através de Attestation:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .xpi
- .xap
Para obter informações sobre como criar um driver assinado de atestado para drivers do Windows 10+, consulte Sinal de atestado Drivers do Windows 10+.
Drivers assinados para Windows Server
- O Windows Server 2016 e superior não aceita envios de assinatura de drivers de dispositivos atestados e drivers de filtro.
- O painel assina apenas os drivers de dispositivo e filtro que passam com êxito nos testes HLK.
- O Windows Server 2016 e superior só carrega drivers assinados pelo painel que passam com êxito nos testes HLK.
Controlo de Aplicações do Windows Defender
As empresas podem implementar uma política para modificar os requisitos de assinatura de driver usando o Windows 10 Enterprise Edition. O WDAC (Controle de Aplicativo do Windows Defender) fornece uma política de integridade de código definida pela empresa, que pode ser configurada para exigir pelo menos um driver assinado por atestado. Para obter mais informações sobre o WDAC, consulte Planejando e introdução ao processo de implantação do Controle de Aplicativo do Windows Defender.
Requisitos de assinatura de driver do Windows
A tabela a seguir resume os requisitos de assinatura de driver para Windows:
| Versão | Painel de atestado assinado | Teste HLK aprovado Painel assinado | Assinatura cruzada usando um certificado SHA-1 emitido antes de 29 de julho de 2015 |
|---|---|---|---|
| Windows Vista | Não | Sim | Sim |
| Janelas 7 | Não | Sim | Sim |
| Windows 8 / 8.1 | Não | Sim | Sim |
| Windows 10 | Sim | Sim | Não (a partir do Windows 10 1809) |
| Windows 10 - DG ativado | *Dependente da configuração | *Dependente da configuração | *Dependente da configuração |
| Windows Server 2008 R2 | Não | Sim | Sim |
| Windows Server 2012 R2 | Não | Sim | Sim |
| Windows Server >= 2016 | Não | Sim | Sim |
| Windows Server >= 2016 – DG habilitado | *Dependente da configuração | *Dependente da configuração | *Dependente da configuração |
| Windows IoT Enterprise | Sim | Sim | Sim |
| Windows IoT Enterprise - DG habilitado | *Dependente da configuração | *Dependente da configuração | *Dependente da configuração |
| Núcleo do Windows IoT(1) | Sim (Não Obrigatório) | Sim (Não Obrigatório) | Sim (a assinatura cruzada também funcionará para certificados emitidos após 29 de julho de 2015) |
*Dependente da configuração – Com o Windows 10 Enterprise Edition, as organizações podem usar o Windows Defender Application Control (WDAC) para definir requisitos de assinatura personalizados. Para obter mais informações sobre o WDAC, consulte Planejando e introdução ao processo de implantação do Controle de Aplicativo do Windows Defender.
(1) A assinatura do driver é necessária para fabricantes que constroem produtos de varejo (ou seja, para fins de não desenvolvimento) com o IoT Core. Para obter uma lista de Autoridades de Certificação (CAs) aprovadas, consulte Certificados Cruzados para Assinatura de Código em Modo Kernel. Se a Inicialização Segura UEFI estiver habilitada, os drivers deverão ser assinados.