¿Cómo permito los controladores de kernel con firma cruzada en Windows 10 versión 1607 con arranque seguro habilitado?

13

La versión 1607 de Windows 10 (también conocida como Actualización de aniversario) ahora está aplicando la certificación de controlador de kernel más estricta que ya se anunció en 2015 como un requisito para Windows 10. La nueva regla es que todos los controladores de Windows 10 deben estar firmados digitalmente por Microsoft, ¡no más firmas cruzadas! Los desarrolladores de controladores de kernel ahora deben usar un certificado de firma de código de Validación Extendida (EV) y enviar sus controladores al Portal del Panel de Windows Hardware Developer Center donde los controladores serán firmados por Microsoft después de pasar ciertas pruebas.

Sin embargo, hay excepciones a esa regla. Windows 10 versión 1607 todavía acepta los controladores de núcleo con firma cruzada si se cumple alguna de las siguientes condiciones :

  • El conductor está firmado con un certificado emitido antes del 29 de julio de 2015.
  • El controlador es un controlador de arranque
  • El arranque seguro está desactivado
  • El sistema Windows 10 versión 1607 se actualizó y no se instaló directamente
  • Se establece una clave de registro secreta que permite que los controladores con firma cruzada se carguen incluso en sistemas con arranque seguro habilitado

En mi empresa tenemos el problema de que varios controladores ahora están deshabilitados en sistemas que recibieron una instalación limpia de Windows 10 versión 1607, e incluso ciertos controladores Intel están afectados. Además, las máquinas virtuales KVM altamente seguras que usan el BIOS TianoCore UEFI con arranque seguro habilitado ahora no cargan la red VirtIO y los controladores de globo debido a errores de firma digital.

Y puedo confirmar que los controladores funcionan bien en sistemas con arranque seguro deshabilitado y en sistemas Windows 10 que se actualizaron (en el lugar) a la versión 1607, incluso con el arranque seguro habilitado.

Ahora me pregunto cuál es el nombre y el valor de ese registro secreto que anunció Microsoft en el siguiente video a las 00 h 11 m 00 s :

Canal 9 - Plugfest28 - Driver-Certification-on-Windows-Client-and-Server

... y finalmente finalmente tendremos una clave de registro ... y esta clave de registro es ... ya sabes ... destinada solo a pruebas, por lo que definitivamente no queremos que ... establezca este registro mientras instala el controlador y ... la clave de registro esencialmente imita el mismo comportamiento que si tuviera un sistema actualizado ...

Microsoft nunca anunció esa clave y, debido al siguiente mensaje en la lista ntdev de OSR, creo que esto nunca sucederá:

Odio decir esto, pero como usted preguntó: La información clave del registro solo está disponible bajo NDA . Lo que significa que probablemente aparecerá en muchos lugares en línea eventualmente, pero hasta ese momento NO lo discutiremos aquí .

Y esto me deja en mi pregunta real de Superusuario:

¿Cuál es esa clave de registro secreta que le dice a Windows 10 versión 1607 que se actualizó desde una versión anterior?

Gollum
fuente
Si tuviera el peligro de adivinar. La misma clave que siempre se ha utilizado cuando se actualiza de una versión anterior de Windows a una versión más nueva de Windows.
Ramhound
1
@Ramhound ... ¿cuál sería?
gollum
¿Alguna pista de quién está usando esa llave? Su existencia sugiere que se entrega a terceros para su uso en ciertas situaciones. Si eso es cierto, ¿no tendría sentido acercarse a Microsoft para pedir que se incluya entre ellos?
@Will Microsoft está usando esa clave para no aplicar la política de firma de controladores más estricta en los sistemas Windows 10 que han realizado la actualización de aniversario en el lugar (no quieren deshabilitar los sistemas que habían estado funcionando antes de la actualización). Por otro lado, la existencia de esta clave podría considerarse un riesgo de seguridad porque puede destruir la política más estricta que las personas podrían desear tener en su lugar eventualmente.
gollum
¿Has probado este? [HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows NT \ Driver Signing] Cambie el BehaviorOnFailedVerifyvalor clave a " 0".
HackSlash

Respuestas:

0

puede probar la opción de configuración de arranque TESTSIGNING

Bcdedit.exe -set TESTSIGNING ON

Make sure to disable the Secure Boot and boot to OS to execute bcedit commands, once done you can reboot to OS with secure boot enabled

La opción de configuración de arranque TESTSIGNING determina si Windows Vista y las versiones posteriores de Windows cargarán algún tipo de código de modo kernel firmado por prueba. Esta opción no está configurada de manera predeterminada, lo que significa que los controladores firmados en modo kernel no se cargarán de manera predeterminada en las versiones de 64 bits de Windows Vista y versiones posteriores de Windows.

Nota Después de cambiar la opción de configuración de inicio TESTSIGNING, reinicie la computadora para que el cambio surta efecto.

Ashish Namdev
fuente
El modo de firma de prueba no es una opción, ya que el núcleo cargaría los controladores firmados por cualquier certificado y no se requiere la validación para encadenarse a una autoridad de certificación raíz de confianza. Básicamente, la cuestión es hacer que un sistema recién instalado se comporte como un sistema actualizado con respecto a la política de validación de firma del controlador.
gollum