Phiên bản Windows 10 1607 (còn gọi là Bản cập nhật kỷ niệm) hiện đang thực thi chứng nhận trình điều khiển hạt nhân đã được thắt chặt đã được công bố năm 2015 như một yêu cầu cho Windows 10. Quy tắc mới là tất cả các trình điều khiển Windows 10 phải được Microsoft ký điện tử, không ký thêm chữ ký! Các nhà phát triển trình điều khiển hạt nhân hiện phải sử dụng chứng chỉ ký mã xác thực mở rộng (EV) và gửi trình điều khiển của họ tới Cổng thông tin bảng điều khiển của Trung tâm nhà phát triển phần cứng Windows, nơi các trình điều khiển sẽ được Microsoft ký sau khi vượt qua các bài kiểm tra nhất định.
Tuy nhiên, có những ngoại lệ cho quy tắc đó. Trình điều khiển kernel có chữ ký chéo vẫn được Windows 10 phiên bản 1607 chấp nhận nếu bất kỳ điều nào sau đây là đúng:
- Tài xế được ký với một chứng chỉ được cấp trước ngày 29 tháng 7 năm 2015
- Trình điều khiển là trình điều khiển khởi động
- Khởi động an toàn đã tắt
- Hệ thống Windows 10 phiên bản 1607 đã được nâng cấp và không được cài đặt trực tiếp
- Khóa đăng ký bí mật được đặt cho phép tải trình điều khiển có chữ ký chéo ngay cả trên các hệ thống có bật Khởi động an toàn
Trong công ty của tôi, chúng tôi có một vấn đề là một số trình điều khiển hiện đã bị vô hiệu hóa trên các hệ thống nhận cài đặt Windows 10 phiên bản 1607 sạch và thậm chí một số trình điều khiển Intel bị ảnh hưởng. Ngoài ra, các máy ảo KVM được bảo mật cao sử dụng BIOS TFICore với khả năng khởi động an toàn hiện không tải mạng VirtIO và trình điều khiển bóng vì lỗi chữ ký số.
Và tôi có thể xác nhận rằng trình điều khiển hoạt động tốt trên các hệ thống đã tắt khởi động an toàn và trên các hệ thống Windows 10 đã được nâng cấp (tại chỗ) lên phiên bản 1607, ngay cả khi bật khởi động an toàn.
Bây giờ tôi đang tự hỏi tên và giá trị của sổ đăng ký bí mật đó đã được Microsoft công bố trong video sau đây lúc 00 h 11 m 00 s :
Kênh 9 - Plugfest28 - Trình điều khiển-Chứng nhận trên Windows-Client-and-Server
... và cuối cùng chúng tôi thực sự sẽ có khóa đăng ký ... và khóa đăng ký này là ... bạn biết ... chỉ nhằm mục đích thử nghiệm nên chúng tôi chắc chắn không muốn bạn ... thiết lập đăng ký này khóa khi bạn cài đặt trình điều khiển và ... khóa đăng ký về cơ bản bắt chước hành vi tương tự như khi bạn có một hệ thống được nâng cấp ...
Khóa đó chưa bao giờ được Microsoft công bố và vì thông báo sau trong danh sách ntdev của OSR, tôi tin rằng điều này sẽ không bao giờ xảy ra:
Tôi ghét phải nói điều này, nhưng vì bạn đã hỏi: Thông tin khóa đăng ký chỉ có sẵn theo NDA . Điều đó có nghĩa là cuối cùng có thể nó sẽ xuất hiện ở nhiều nơi trực tuyến, nhưng cho đến thời điểm đó, chúng tôi sẽ không thảo luận về vấn đề này ở đây .
Và điều này khiến tôi phải trả lời câu hỏi Siêu người dùng thực tế của mình:
Khóa đăng ký bí mật đó nói với Windows 10 phiên bản 1607 rằng nó đã được nâng cấp từ phiên bản trước là gì?
BehaviorOnFailedVerify
giá trị khóa thành " 0
".