Làm cách nào để cho phép trình điều khiển hạt nhân được ký chéo trong Windows 10 phiên bản 1607 có bật khởi động an toàn?


13

Phiên bản Windows 10 1607 (còn gọi là Bản cập nhật kỷ niệm) hiện đang thực thi chứng nhận trình điều khiển hạt nhân đã được thắt chặt đã được công bố năm 2015 như một yêu cầu cho Windows 10. Quy tắc mới là tất cả các trình điều khiển Windows 10 phải được Microsoft ký điện tử, không ký thêm chữ ký! Các nhà phát triển trình điều khiển hạt nhân hiện phải sử dụng chứng chỉ ký mã xác thực mở rộng (EV) và gửi trình điều khiển của họ tới Cổng thông tin bảng điều khiển của Trung tâm nhà phát triển phần cứng Windows, nơi các trình điều khiển sẽ được Microsoft ký sau khi vượt qua các bài kiểm tra nhất định.

Tuy nhiên, có những ngoại lệ cho quy tắc đó. Trình điều khiển kernel có chữ ký chéo vẫn được Windows 10 phiên bản 1607 chấp nhận nếu bất kỳ điều nào sau đây là đúng:

  • Tài xế được ký với một chứng chỉ được cấp trước ngày 29 tháng 7 năm 2015
  • Trình điều khiển là trình điều khiển khởi động
  • Khởi động an toàn đã tắt
  • Hệ thống Windows 10 phiên bản 1607 đã được nâng cấp và không được cài đặt trực tiếp
  • Khóa đăng ký bí mật được đặt cho phép tải trình điều khiển có chữ ký chéo ngay cả trên các hệ thống có bật Khởi động an toàn

Trong công ty của tôi, chúng tôi có một vấn đề là một số trình điều khiển hiện đã bị vô hiệu hóa trên các hệ thống nhận cài đặt Windows 10 phiên bản 1607 sạch và thậm chí một số trình điều khiển Intel bị ảnh hưởng. Ngoài ra, các máy ảo KVM được bảo mật cao sử dụng BIOS TFICore với khả năng khởi động an toàn hiện không tải mạng VirtIO và trình điều khiển bóng vì lỗi chữ ký số.

Và tôi có thể xác nhận rằng trình điều khiển hoạt động tốt trên các hệ thống đã tắt khởi động an toàn và trên các hệ thống Windows 10 đã được nâng cấp (tại chỗ) lên phiên bản 1607, ngay cả khi bật khởi động an toàn.

Bây giờ tôi đang tự hỏi tên và giá trị của sổ đăng ký bí mật đó đã được Microsoft công bố trong video sau đây lúc 00 h 11 m 00 s :

Kênh 9 - Plugfest28 - Trình điều khiển-Chứng nhận trên Windows-Client-and-Server

... và cuối cùng chúng tôi thực sự sẽ có khóa đăng ký ... và khóa đăng ký này là ... bạn biết ... chỉ nhằm mục đích thử nghiệm nên chúng tôi chắc chắn không muốn bạn ... thiết lập đăng ký này khóa khi bạn cài đặt trình điều khiển và ... khóa đăng ký về cơ bản bắt chước hành vi tương tự như khi bạn có một hệ thống được nâng cấp ...

Khóa đó chưa bao giờ được Microsoft công bố và vì thông báo sau trong danh sách ntdev của OSR, tôi tin rằng điều này sẽ không bao giờ xảy ra:

Tôi ghét phải nói điều này, nhưng vì bạn đã hỏi: Thông tin khóa đăng ký chỉ có sẵn theo NDA . Điều đó có nghĩa là cuối cùng có thể nó sẽ xuất hiện ở nhiều nơi trực tuyến, nhưng cho đến thời điểm đó, chúng tôi sẽ không thảo luận về vấn đề này ở đây .

Và điều này khiến tôi phải trả lời câu hỏi Siêu người dùng thực tế của mình:

Khóa đăng ký bí mật đó nói với Windows 10 phiên bản 1607 rằng nó đã được nâng cấp từ phiên bản trước là gì?


Nếu tôi là nguy hiểm để đoán. Khóa tương tự luôn được sử dụng khi bạn nâng cấp từ phiên bản Windows trước lên phiên bản Windows mới hơn.
Ramhound

1
@Ramhound ... đó sẽ là gì?
gollum

Bất kỳ gợi ý của những người đang sử dụng chìa khóa đó? Sự tồn tại của nó cho thấy nó được trao cho các bên ngoài để sử dụng trong các tình huống nhất định. Nếu đó là sự thật, liệu có hợp lý khi tiếp cận Microsoft để yêu cầu trở thành một trong số họ không?

@ Sẽ Microsoft sử dụng khóa đó để không áp dụng chính sách ký trình điều khiển nghiêm ngặt hơn trên các hệ thống Windows 10 đã thực hiện cập nhật kỷ niệm tại chỗ (họ không muốn vô hiệu hóa các hệ thống đã hoạt động trước khi cập nhật). Mặt khác, sự tồn tại của khóa này có thể được coi là rủi ro bảo mật vì cuối cùng nó có thể thực hiện chính sách chặt chẽ hơn mà mọi người có thể muốn có.
gollum

Bạn đã cố gắng chưa? [HKEY_CURRENT_USER \ Software \ Chính sách \ Microsoft \ Windows NT \ Ký tên trình điều khiển] Thay đổi BehaviorOnFailedVerifygiá trị khóa thành " 0".
HackSlash

Câu trả lời:


0

bạn có thể thử tùy chọn cấu hình khởi động TESTSIGNING

Bcdedit.exe -set TESTSIGNING ON

Make sure to disable the Secure Boot and boot to OS to execute bcedit commands, once done you can reboot to OS with secure boot enabled

Tùy chọn cấu hình khởi động TESTSIGNING xác định xem Windows Vista và các phiên bản Windows mới hơn có tải bất kỳ loại mã chế độ kernel đã ký nào không. Tùy chọn này không được đặt theo mặc định, điều đó có nghĩa là trình điều khiển chế độ kernel đã ký kiểm tra sẽ không tải theo mặc định trên các phiên bản Windows Vista 64 bit và các phiên bản Windows mới hơn.

Lưu ý Sau khi bạn thay đổi tùy chọn cấu hình khởi động KIỂM TRA, hãy khởi động lại máy tính để thay đổi có hiệu lực.


Chế độ kiểm tra không phải là một tùy chọn vì kernel sẽ tải trình điều khiển được ký bởi bất kỳ chứng chỉ nào và không cần phải xác thực để kết nối với cơ quan chứng nhận gốc đáng tin cậy. Về cơ bản câu hỏi là về việc làm cho một hệ thống mới được cài đặt hoạt động giống như một hệ thống được nâng cấp liên quan đến chính sách xác thực chữ ký trình điều khiển.
gollum
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.