Güvenli önyükleme etkinken Windows 10 sürüm 1607'de çapraz imzalı çekirdek sürücülerine nasıl izin verebilirim?


13

Windows 10 Sürüm 1607 (Yıldönümü Güncellemesi olarak da bilinir), 2015'i Windows 10 için bir gereklilik olarak ilan edilen sıkılaştırılmış çekirdek sürücü sertifikasını zorunlu kılıyor. Çekirdek sürücü geliştiricileri artık bir Genişletilmiş Doğrulama (EV) kod imzalama sertifikası kullanmalı ve sürücülerini, belirli testlerden geçtikten sonra sürücülerin Microsoft tarafından imzalanacağı Windows Donanım Geliştirici Merkezi Pano Portalı'na göndermelidir.

Ancak, bu kuralın istisnaları vardır. Aşağıdakilerden herhangi biri doğruysa, çapraz imzalı çekirdek sürücüleri Windows 10 sürüm 1607 tarafından kabul edilmektedir :

  • Sürücü, 29 Temmuz 2015 tarihinden önce verilen bir sertifika ile imzalanmıştır.
  • Sürücü bir önyükleme sürücüsüdür
  • Güvenli Önyükleme Kapalı
  • Windows 10 sürüm 1607 Sistemi yükseltildi ve doğrudan yüklenmedi
  • Güvenli önyükleme etkinleştirilmiş sistemlerde bile çapraz imzalı sürücülerin yüklenmesine izin veren gizli bir kayıt defteri anahtarı ayarlanmıştır

Şirketimde, temiz bir Windows 10 sürüm 1607 kurulumu alan sistemlerde birkaç sürücünün devre dışı bırakılması ve hatta bazı Intel sürücülerinin etkilenmesi sorunu yaşıyoruz. Buna ek olarak, güvenli önyükleme etkinleştirilmiş TianoCore UEFI BIOS kullanan yüksek güvenlikli KVM sanal makineleri artık dijital imza hataları nedeniyle VirtIO ağını ve balon sürücülerini yüklemiyor.

Güvenli önyükleme devre dışı bırakılmış sistemlerde ve güvenli önyükleme etkinleştirilmiş olsa bile 1607 sürümüne yükseltilmiş (yerinde) Windows 10 sistemlerinde sürücülerin iyi çalıştığını doğrulayabilirim.

Şimdi bu gizli kayıt defterinin adı ve değeri, Microsoft tarafından aşağıdaki videoda 00 h 11 m 00 s duyuruldu ne olduğunu merak ediyorum :

Kanal 9 - Plugfest28 - Windows İstemci ve Sunucuda Sürücü Sertifikası

... ve son olarak aslında bir kayıt defteri anahtarına sahip olacağız ... ve bu kayıt defteri anahtarı ... bilirsiniz ... sadece test amaçlıdır, bu yüzden kesinlikle bu kayıt defterini ayarlamak istemiyoruz ... sürücüyü yüklediğinizde ve ... kayıt defteri anahtarı, yükseltilmiş bir sisteminizle aynı davranışı taklit eder ...

Bu anahtar Microsoft tarafından asla duyurulmadı ve OSR'nin ntdev listesindeki aşağıdaki mesajdan dolayı bunun asla olmayacağına inanıyorum:

Bunu söylemekten nefret ediyorum, ama sorduğunuzdan beri: Kayıt defteri anahtarı bilgileri yalnızca NDA altında kullanılabilir . Bu, muhtemelen çevrimiçi olarak birçok yerde ortaya çıkacağı anlamına geliyor, ancak o zamana kadar burada tartışmayacağız .

Ve bu beni gerçek Süper Kullanıcı soruma bırakıyor:

Windows 10 sürüm 1607'ye önceki bir sürümden yükseltildiğini söyleyen bu gizli kayıt defteri anahtarı nedir?


Tahmin etmek için tehlikeye düşecek olsaydım. Windows'un önceki bir sürümünden daha yeni bir Windows sürümüne yükselttiğinizde her zaman kullanılan anahtar.
Ramhound

1
@Ramhound ... hangisi olurdu?
gollum

Bu anahtarı kimin kullandığına dair ipucu var mı? Varlığı, belirli durumlarda kullanılmak üzere dış taraflara verildiğini göstermektedir. Bu doğruysa, Microsoft'un aralarında yer almasını istemek için yaklaşmak mantıklı olmaz mı?

@Microsoft, yerinde yıldönümü güncellemesini gerçekleştiren Windows 10 sistemlerine daha sıkı sürücü imzalama ilkesini uygulamak için bu anahtarı kullanacaktır (güncellemeden önce çalışan sistemleri devre dışı bırakmak istemezler). Öte yandan, bu anahtarın varlığı bir güvenlik riski olarak kabul edilebilir, çünkü insanların sonunda olmasını isteyebilecekleri daha katı politikaları çağırabilir.
gollum

Bunu denedin mi? [HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows NT \ Driver Signing] BehaviorOnFailedVerifyAnahtar değerini " 0" olarak değiştirin.
HackSlash

Yanıtlar:


0

TESTSIGNING Önyükleme Yapılandırma Seçeneğini deneyebilirsiniz

Bcdedit.exe -set TESTSIGNING ON

Make sure to disable the Secure Boot and boot to OS to execute bcedit commands, once done you can reboot to OS with secure boot enabled

TESTSIGNING önyükleme yapılandırma seçeneği, Windows Vista'nın ve Windows'un sonraki sürümlerinin herhangi bir türden test imzalı çekirdek modu kodu yükleyip yüklemeyeceğini belirler. Bu seçenek varsayılan olarak ayarlanmamıştır, yani test imzalı çekirdek modu sürücüleri Windows Vista'nın 64 bit sürümlerinde ve Windows'un sonraki sürümlerinde varsayılan olarak yüklenmez.

Not TESTSIGNING önyükleme yapılandırması seçeneğini değiştirdikten sonra, değişikliğin etkili olması için bilgisayarı yeniden başlatın.


Çekirdek herhangi bir sertifika tarafından imzalanan sürücüleri yükleyeceğinden ve güvenilir bir kök sertifika yetkilisine zincirlemek için doğrulama gerekmediğinden, test atama modu bir seçenek değildir. Temel olarak soru, yeni kurulan bir sistemin, sürücü imzası doğrulama ilkesine ilişkin olarak yükseltilmiş bir sistem gibi davranmasıyla ilgilidir.
gollum
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.