Bagaimana cara saya mengijinkan driver kernel yang ditandatangani lintas di Windows 10 versi 1607 dengan boot aman diaktifkan?

13

Windows 10 Versi 1607 (alias Anniversary Update) sekarang memberlakukan sertifikasi driver kernel yang diperketat yang telah diumumkan tahun 2015 sebagai persyaratan untuk Windows 10. Aturan baru adalah bahwa semua driver Windows 10 harus ditandatangani secara digital oleh Microsoft, tidak ada lagi penandatanganan silang! Pengembang driver kernel sekarang harus menggunakan sertifikat penandatanganan kode Extended Validation (EV) dan mengirimkan driver mereka ke Portal Dashboard Pusat Pengembang Perangkat Keras Windows di mana driver akan ditandatangani oleh Microsoft setelah melewati tes tertentu.

Namun, ada pengecualian untuk aturan itu. Driver kernel lintas-ditandatangani masih diterima oleh Windows 10 versi 1607 jika salah satu dari yang berikut ini benar:

  • Pengemudi ditandatangani dengan sertifikat yang dikeluarkan sebelum 29 Juli 2015
  • Driver adalah driver boot up
  • Boot Aman Tidak Aktif
  • Sistem Windows 10 versi 1607 ditingkatkan dan tidak diinstal secara langsung
  • Kunci registri rahasia disetel yang memungkinkan driver bertanda tangan silang memuat bahkan pada sistem dengan Boot Aman diaktifkan

Di perusahaan saya, kami memiliki masalah bahwa beberapa driver sekarang dinonaktifkan pada sistem yang menerima instalasi Windows 10 versi 1607 yang bersih, dan bahkan driver Intel tertentu terpengaruh. Selain itu, mesin virtual KVM yang sangat aman yang menggunakan TianoCore UEFI BIOS dengan boot aman yang diaktifkan sekarang tidak memuat jaringan VirtIO dan driver balon karena kesalahan tanda tangan digital.

Dan saya dapat mengkonfirmasi bahwa driver berfungsi dengan baik pada sistem dengan boot aman dinonaktifkan dan pada sistem Windows 10 yang ditingkatkan (di tempat) ke versi 1607, bahkan dengan boot aman diaktifkan.

Sekarang saya bertanya-tanya apa nama dan nilai dari registri rahasia itu yang diumumkan oleh Microsoft dalam video berikut di 00 h 11 m 00 s :

Channel 9 - Plugfest28 - Driver-Sertifikasi-pada-Windows-Client-dan-Server

... dan akhirnya kita benar-benar akan memiliki kunci registri ... dan kunci registri ini adalah ... Anda tahu ... dimaksudkan hanya untuk pengujian sehingga kami jelas tidak ingin Anda ... mengatur registri ini saat Anda menginstal driver dan ... kunci registri pada dasarnya meniru perilaku yang sama seolah-olah Anda memiliki sistem yang ditingkatkan ...

Kunci itu tidak pernah diumumkan oleh Microsoft dan karena pesan berikut dalam daftar ntdev OSR saya percaya ini tidak akan pernah terjadi:

Saya benci mengatakan ini, tetapi karena Anda bertanya: Informasi kunci registri hanya tersedia di bawah NDA . Yang berarti itu mungkin akan muncul di banyak tempat secara online pada akhirnya, tetapi sampai saat itu KAMI TIDAK AKAN membahasnya di sini .

Dan ini membuat saya pada pertanyaan Pengguna Super saya yang sebenarnya:

Apa kunci registri rahasia yang memberi tahu Windows 10 versi 1607 bahwa itu ditingkatkan dari versi sebelumnya?

drivers windows-registry digital-signature windows-10-v1607 secure-boot Gollum
sumber
Jika saya harus menebak. Kunci yang sama yang selalu digunakan ketika Anda memutakhirkan dari versi Windows sebelumnya ke versi Windows yang lebih baru.
Ramhound
1
@Ramhound ... yang mana?
Gollum
Adakah petunjuk tentang siapa yang menggunakan kunci itu? Keberadaannya menunjukkan itu diberikan kepada pihak luar untuk digunakan dalam situasi tertentu. Jika itu benar, tidakkah masuk akal untuk mendekati Microsoft untuk meminta satu di antaranya?
@Apakah Microsoft menggunakan kunci itu untuk tidak menerapkan kebijakan penandatanganan driver yang lebih ketat pada sistem Windows 10 yang telah melakukan pembaruan ulang tahun di tempat (mereka tidak ingin menonaktifkan sistem yang telah berfungsi sebelum pembaruan). Di sisi lain, keberadaan kunci ini dapat dianggap sebagai risiko keamanan karena dapat membatalkan kebijakan yang lebih ketat yang mungkin ingin dimiliki orang pada akhirnya.
Gollum
Sudahkah Anda mencoba yang ini? [HKEY_CURRENT_USER \ Software \ Kebijakan \ Microsoft \ Windows NT \ Driver Signing] Ubah nilai BehaviorOnFailedVerifykunci menjadi " 0".
HackSlash

Jawaban:

0

Anda dapat mencoba Opsi Konfigurasi Boot TESTSIGNING

Bcdedit.exe -set TESTSIGNING ON

Make sure to disable the Secure Boot and boot to OS to execute bcedit commands, once done you can reboot to OS with secure boot enabled

Opsi konfigurasi boot TESTSIGNING menentukan apakah Windows Vista dan versi Windows yang lebih baru akan memuat semua jenis kode mode kernel yang ditandatangani. Opsi ini tidak diatur secara default, yang berarti driver mode kernel yang ditandatangani uji tidak akan memuat secara default pada versi 64-bit Windows Vista dan versi Windows yang lebih baru.

Catatan Setelah Anda mengubah opsi konfigurasi boot TESTSIGNING, restart komputer agar perubahan diterapkan.

Ashish Namdev
sumber
Mode pengujian bukan opsi karena kernel akan memuat driver yang ditandatangani oleh sertifikat apa pun dan validasinya tidak diperlukan untuk menghubungkan ke otoritas sertifikasi root tepercaya. Pada dasarnya pertanyaannya adalah tentang membuat sistem yang baru diinstal berperilaku seperti sistem yang ditingkatkan sehubungan dengan kebijakan validasi tanda tangan pengemudi.
gollum