Aktivieren des Ladens von testsignierten Treibern

Standardmäßig lädt Windows keine Kernelmodustreiber mit Testsign. Um dieses Verhalten zu ändern und testsignierte Treiber zu laden, verwenden Sie den Startkonfigurationsdaten-Editor BCDEdit.exe, um TESTSIGNING, eine Startkonfigurationsoption, zu aktivieren oder zu deaktivieren. Sie müssen über Administratorrechte verfügen, um diese Option zu aktivieren.

Hinweis

Für 64-Bit-Versionen von Windows Vista und höheren Versionen von Windows erfordert die Kernelmodus-Codesignaturrichtlinie, dass der gesamte Kernelmoduscode über eine digitale Signatur verfügt. In den meisten Fällen kann jedoch ein nicht signierter Treiber auf 32-Bit-Versionen von Windows Vista und höheren Versionen von Windows installiert und geladen werden. Weitere Informationen finden Sie unter Treibersignierrichtlinie.

Administratorrechte erforderlich

Um BCDEdit verwenden zu können, müssen Sie Mitglied der Gruppe Administratoren auf dem System sein und den Befehl an einer Eingabeaufforderung mit erhöhten Rechten ausführen. Um ein Eingabeaufforderungsfenster mit erhöhten Rechten zu öffnen, geben Sie cmd in das Suchfeld in der Windows-Taskleiste ein, und halten Sie die Eingabeaufforderung in den Suchergebnissen gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Als Administrator ausführen aus.

Warnung

Administratorrechte sind erforderlich, um BCDEdit zum Ändern der Startkonfigurationsdaten zu verwenden. Das Ändern einiger Starteingabeoptionen mithilfe von BCDEdit /set könnte dazu führen, dass Ihr Computer nicht mehr funktionsfähig ist. Alternativ können Sie das Hilfsprogramm Systemkonfiguration (MSConfig.exe) verwenden, um die Starteinstellungen zu ändern.

Aktivieren oder Deaktivieren der Verwendung von testsigniertem Code

Führen Sie BCDEdit-Befehlszeilen aus, um das Laden von testsigniertem Code zu aktivieren oder zu deaktivieren. Damit eine Änderung wirksam wird, unabhängig davon, ob die Option aktiviert oder deaktiviert wird, müssen Sie den Computer neu starten, nachdem Sie die Konfiguration geändert haben.

Verwenden Sie die folgende BCDEdit-Befehlszeile, um testsignierten Code zu aktivieren:

:: If this command results in "The value is protected by Secure Boot policy and cannot be modified or deleted"
:: Then reboot the PC, go into BIOS settings, and disable Secure Boot. BitLocker may also affect your ability to modify this setting.
Bcdedit.exe -set TESTSIGNING ON

Hinweis

Ab Windows 10 Version 1507 müssen Sie die Binärdatei mit jedem selbst erstellten Testzertifikat testen, wenn Sie Speicherintegrität/HVCI (Hypervisorcodeintegrität) aktiviert haben. Eine Binärdatei ohne Vorzeichen wird nicht unterstützt.

Verwenden Sie die folgende BCDEdit-Befehlszeile, um die Verwendung von testsigniertem Code zu deaktivieren:

Bcdedit.exe -set TESTSIGNING OFF

Die folgende Abbildung zeigt das Ergebnis der Verwendung der BCDEdit-Befehlszeile zum Aktivieren der Testsignatur.

Verhalten von Windows beim Laden von testsigniertem Code aktiviert

Wenn das Laden von testsigniertem Code aktiviert ist, führt Windows folgendes aus:

• Zeigt ein Wasserzeichen mit dem Text "Testmodus" in allen vier Ecken des Desktops an, um Benutzer daran zu erinnern, dass das System die Testsignatur aktiviert hat. Hinweis Ab Windows 7 zeigt Windows dieses Wasserzeichen nur in der unteren rechten Ecke des Desktops an.

• Zeigt ein Wasserzeichen mit dem Text "Testmodus" in der unteren linken Ecke des Desktops an, um Benutzer daran zu erinnern, dass das System die Testsignatur aktiviert hat.

• Das Betriebssystemladeprogramm und die Kernelladetreiber, die von einem beliebigen Zertifikat signiert sind. Die Zertifikatüberprüfung ist nicht erforderlich, um eine vertrauenswürdige Stammzertifizierungsstelle zu verketten. Jede Treiberimagedatei muss jedoch über eine digitale Signatur verfügen.