Comment autoriser les pilotes de noyau avec signature croisée dans Windows 10 version 1607 avec un démarrage sécurisé activé?

13

Windows 10 version 1607 (alias mise à jour anniversaire) applique désormais la certification renforcée des pilotes du noyau qui avait déjà été annoncée en 2015 comme une exigence pour Windows 10. La nouvelle règle est que tous les pilotes Windows 10 doivent être signés numériquement par Microsoft, plus de signature croisée! Les développeurs de pilotes du noyau doivent désormais utiliser un certificat de signature de code de validation étendue (EV) et soumettre leurs pilotes au portail de tableau de bord du Centre de développement matériel Windows où les pilotes seront signés par Microsoft après avoir réussi certains tests.

Cependant, il existe des exceptions à cette règle. Les pilotes de noyau avec signature croisée sont toujours acceptés par Windows 10 version 1607 si l'une des conditions suivantes est vraie:

  • Le chauffeur est signé avec un certificat délivré avant le 29 juillet 2015
  • Le pilote est un pilote de démarrage
  • Le démarrage sécurisé est désactivé
  • Le système Windows 10 version 1607 a été mis à niveau et n'est pas directement installé
  • Une clé de registre secrète est définie qui permet aux pilotes avec signature croisée de se charger même sur les systèmes avec Secure Boot activé

Dans mon entreprise, nous avons le problème que plusieurs pilotes sont désormais désactivés sur les systèmes qui ont reçu une installation propre de Windows 10 version 1607, et même certains pilotes Intel sont affectés. De plus, les machines virtuelles KVM hautement sécurisées qui utilisent le BIOS TianoCore UEFI avec un démarrage sécurisé activé ne chargent plus le réseau VirtIO et les pilotes de ballon en raison d'erreurs de signature numérique.

Et je peux confirmer que les pilotes fonctionnent correctement sur les systèmes avec démarrage sécurisé désactivé et sur les systèmes Windows 10 qui ont été mis à niveau (sur place) vers la version 1607, même avec le démarrage sécurisé activé.

Maintenant, je me demande quel est le nom et la valeur de ce registre secret qui a été annoncé par Microsoft dans la vidéo suivante à 00 h 11 m 00 s :

Canal 9 - Plugfest28 - Certification de pilote sur client et serveur Windows

... et puis finalement nous allons avoir une clé de registre ... et cette clé de registre est ... vous savez ... destinée uniquement aux tests, donc nous ne voulons certainement pas que vous ... définissiez ce registre lorsque vous installez le pilote et ... la clé de registre imite essentiellement le même comportement que si vous avez un système mis à niveau ...

Cette clé n'a jamais été annoncée par Microsoft et en raison du message suivant dans la liste ntdev d'OSR, je pense que cela ne se produira jamais:

Je déteste dire cela, mais puisque vous avez demandé: Les informations de clé de registre sont uniquement disponibles sous NDA . Ce qui signifie qu'il finira probablement par apparaître dans de nombreux endroits en ligne, mais jusqu'à ce moment-là, nous n'en discuterons pas ici .

Et cela me laisse à ma véritable question de super utilisateur:

Quelle est cette clé de registre secrète qui indique à Windows 10 version 1607 qu'elle a été mise à niveau à partir d'une version précédente?

drivers windows-registry digital-signature windows-10-v1607 secure-boot gollum
la source
Si je devais risquer de deviner. La même clé qui a toujours été utilisée lors de la mise à niveau d'une version précédente de Windows vers une version plus récente de Windows.
Ramhound
1
@Ramhound ... qui serait?
gollum
Une idée de qui utilise cette clé? Son existence suggère qu'il est donné à des tiers pour une utilisation dans certaines situations. Si c'est vrai, ne serait-il pas logique d'approcher Microsoft pour demander à en faire partie?
@Will Microsoft utilise cette clé afin de ne pas appliquer la politique de signature de pilote plus stricte sur les systèmes Windows 10 qui ont effectué la mise à jour anniversaire en place (ils ne veulent pas désactiver les systèmes qui fonctionnaient avant la mise à jour). D'un autre côté, l'existence de cette clé peut être considérée comme un risque pour la sécurité car elle peut nuir à la politique plus stricte que les gens pourraient vouloir mettre en place à terme.
gollum
Avez-vous essayé celui-ci? [HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows NT \ Signature du pilote] Modifiez la BehaviorOnFailedVerifyvaleur de clé sur " 0".
HackSlash

Réponses:

0

vous pouvez essayer l'option de configuration de démarrage TESTSIGNING

Bcdedit.exe -set TESTSIGNING ON

Make sure to disable the Secure Boot and boot to OS to execute bcedit commands, once done you can reboot to OS with secure boot enabled

L'option de configuration de démarrage TESTSIGNING détermine si Windows Vista et les versions ultérieures de Windows chargeront tout type de code en mode noyau signé par le test. Cette option n'est pas définie par défaut, ce qui signifie que les pilotes en mode noyau signés par test ne se chargeront pas par défaut sur les versions 64 bits de Windows Vista et les versions ultérieures de Windows.

Remarque Après avoir modifié l'option de configuration de démarrage TESTSIGNING, redémarrez l'ordinateur pour que la modification prenne effet.

Ashish Namdev
la source
Le mode tests de signature n'est pas une option car le noyau chargerait les pilotes signés par n'importe quel certificat et la validation n'est pas requise pour se connecter à une autorité de certification racine de confiance. Fondamentalement, la question consiste à faire en sorte qu'un système fraîchement installé se comporte comme un système mis à niveau en ce qui concerne la politique de validation de la signature du pilote.
gollum