Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra varie offerte di firma dei driver disponibili in Hardware Dev Center. L'articolo consiglia anche le prassi migliori.
Driver firmati dal dashboard e testati con HLK (Hardware Lab Kit)
Un driver firmato dal dashboard che ha superato i test di HLK (Hardware Lab Kit) (HLK) funziona su Windows Vista e versioni successive, incluse le edizioni Windows Server. Il test HLK è il metodo consigliato per la firma del driver, perché firma un driver per tutte le versioni del sistema operativo.
I driver testati HLK dimostrano che un produttore testa rigorosamente l'hardware per soddisfare tutti i requisiti Microsoft relativi all'affidabilità, alla sicurezza, all'efficienza energetica, alla gestibilità e alle prestazioni. I test includono la conformità agli standard di settore e la conformità alle specifiche Microsoft per le funzionalità specifiche della tecnologia. Tali test consentono di garantire l'installazione, la distribuzione, la connettività e l'interoperabilità corrette.
Per informazioni su come creare un driver testato HLK per l'invio del dashboard, consulta Guida introduttiva a Windows HLK.
Driver firmati di attestazione per scenari di test
L'installazione dei dispositivi Windows utilizza firme digitali per verificare l'integrità dei pacchetti di driver e l'identità dell'editore del software che fornisce i pacchetti di driver.
Solo a scopo di test, è possibile inviare i driver per la firma dell'attestazione, che non richiede test HLK.
La firma dell'attestazione presenta le restrizioni e i requisiti seguenti:
I driver firmati di attestazione non possono essere pubblicati in Windows Update per i destinatari al dettaglio. Per pubblicare un driver in Windows Update per gruppi di destinatari al dettaglio, è necessario inviare il driver tramite Windows Programma di compatibilità hardware. La pubblicazione dei driver firmati di attestazione su Windows Update per finalità di test è supportata selezionando CoDev o Test Registry Key/Surface SSRK.
La firma dell'attestazione funziona solo su Windows 10 Desktop e versioni successive di Windows.
La firma dell'attestazione supporta i driver di Windows Desktop in modalità kernel e i driver in modalità utente. Per i driver che devono essere eseguiti su versioni precedenti di Windows, presentare i log di test HLK/HCK per la certificazione Windows.
La firma di attestazione non restituisce il livello PE (Portable Executable) appropriato per i file binari ELAM (Early Launch Antimalware) o Windows Hello PE. Questi file binari devono essere testati e inviati come pacchetti con estensione hlkx per ricevere gli attributi di firma aggiuntivi.
La firma dell'attestazione richiede l'uso di un certificato di convalida esteso per inviare il driver al Centro per i partner (dashboard di Hardware Dev Center).
La firma di attestazione richiede che i nomi delle cartelle del driver non contengano caratteri speciali e non contengano percorsi di condivisione file UNC. I nomi delle cartelle dei driver devono avere una lunghezza inferiore a 40 caratteri.
Quando un driver riceve la firma di convalida, non è certificato Windows. Una firma di attestazione da Microsoft indica che Windows considera attendibile il driver. Tuttavia, poiché il driver non è testato in HLK Studio, non ci sono garanzie sulla compatibilità o sulle funzionalità.
DUA (Driver Update Acceptable) non supporta i driver con firma di attestazione.
I seguenti livelli e file binari PE possono essere elaborati tramite attestazione:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .Xpi
- .xap
Per ulteriori informazioni, consultare Firma di attestazione dei driver di Windows.
Driver firmati di preproduzione
La firma per la pre-produzione è disponibile per i partner durante le fasi iniziali di sviluppo e convalida. I driver firmati per la pre-produzione consentono ai partner di testare i file binari dei driver su sistemi in cui l'avvio protetto resta abilitato.
Per impostazione predefinita, questi driver non sono considerati attendibili nei sistemi di vendita al dettaglio. Vengono invece caricati solo sui dispositivi esplicitamente configurati per considerare attendibile la firma di preproduzione. Questa specifica consente test con maggiore fedeltà, inclusa la compatibilità dell'avvio protetto, garantendo al tempo stesso che non sia possibile distribuire su larga scala driver non terminati o non convalidati.
Scenari supportati
È possibile usare la firma di preproduzione quando i partner devono:
Convalidare le compilazioni dei driver iniziali che non sono ancora pronte per l'invio a WHCP/HLK.
Eseguire test di messa in funzione e co-sviluppo con Secure Boot abilitato.
Testare le interazioni delle funzionalità di sicurezza del sistema operativo, ad esempio l'integrità del codice basata su Hypervisor (HVCI) e l'integrità del codice in modalità kernel/utente, in un ambiente controllato.
Compatibilità della configurazione del sistema operativo
Quando si configura un dispositivo con la configurazione di firma per la fase di preproduzione:
L'installazione e il caricamento dei driver sono supportati con l'avvio protetto abilitato.
HVCI, l'integrità del codice in modalità kernel e l'integrità del codice in modalità utente rimangono supportate, in modo analogo alle configurazioni attendibili standard e di attestazione.
I driver non vengono caricati nei sistemi retail, a meno che tali sistemi non siano esplicitamente configurati per considerare attendibile la firma di pre-produzione.
Attributi di firma del driver supportati
Gli attributi di firma del driver seguenti sono supportati con la firma di preproduzione: ELAM, HalExt, PETrust, DRM e Windows Hello.
Approvvigionamento e invio
Per usare la firma di preproduzione, i partner devono effettuare il provisioning dei dispositivi di test per affidarsi alla firma di preproduzione. Per istruzioni dettagliate sul provisioning, inclusi i criteri e gli strumenti di avvio protetto necessari, vedere Come testare i driver di preproduzione con l'avvio protetto abilitato.
I partner possono creare e gestire gli invii di preproduzione usando le API di Hardware Dev Center Microsoft. Per i passaggi di invio e i dettagli sulla gestione dei pacchetti, vedere Gestire gli invii di firma di preproduzione.
Driver firmati di Windows Server
Comprendere le limitazioni seguenti sui driver firmati Windows Server:
Windows Server 2016 e versioni successive non accettano invii di firma di driver e dispositivi attestati.
Il dashboard firma solo i driver di dispositivo e filtro che superano correttamente i test HLK.
Windows Server 2016 e maggiore carica solo i driver firmati dal dashboard che superano correttamente i test HLK.
Controllo applicazione Windows Defender
Per Windows 10 Enterprise Edition, le aziende possono implementare criteri per modificare i requisiti di firma dei driver. Windows Defender Controllo applicazioni (WDAC) fornisce un criterio di integrità del codice definito dall'organizzazione, che può essere configurato per richiedere almeno un driver firmato di attestazione. Per ulteriori informazioni su WDAC, consultare Implementazione dei criteri di App Control for Business.
requisiti di firma del driver Windows
La tabella seguente riepiloga i requisiti di firma del driver per Windows.
| Versione | Dashboard di attestazione firmata | La dashboard del test HLK superato e firmata | Firma incrociata con un certificato SHA-1 rilasciato prima del 29 luglio 2015 |
|---|---|---|---|
| Windows Vista | No | Sì | Sì |
| Windows 7 | No | Sì | Sì |
| Windows 8/ 8.1 | No | Sì | Sì |
| Windows 10 | Sì | Sì | No (a partire da Windows 10 1809) |
| Windows 10 - DG abilitato | *Dipendente dalla configurazione | *Dipendente dalla configurazione | *Dipendente dalla configurazione |
| Windows Server 2008 R2 | No | Sì | Sì |
| Windows Server 2012 R2 | No | Sì | Sì |
| Windows Server >= 2016 | No | Sì | Sì |
| Windows Server >= 2016 - DG Attivato | *Dipendente dalla configurazione | *Dipendente dalla configurazione | *Dipendente dalla configurazione |
| Windows IoT Enterprise | Sì | Sì | Sì |
| Windows IoT Enterprise- DG abilitato | *Dipendente dalla configurazione | *Dipendente dalla configurazione | *Dipendente dalla configurazione |
| Windows IoT Core(1) | Sì (non obbligatorio) | Sì (non obbligatorio) | Sì (la firma incrociata funziona anche per i certificati rilasciati dopo il 29 luglio 2015) |
*Dipendente dalla configurazione: con Windows 10 Enterprise Edition, le organizzazioni possono usare WDAC per definire requisiti di firma personalizzati.
(1) La firma del driver è necessaria per i produttori che creano prodotti di vendita al dettaglio (vale a dire per uno scopo non di sviluppo) con IoT Core. Per un elenco delle autorità di certificazione approvate, vedere Certificati incrociati per la firma del codice in modalità kernel. Se l'avvio protetto UEFI è abilitato, è necessario usare i driver firmati.