Signierungsanforderungen für sichere Startfeatures für Kernelmodustreiber
Plattformen
Clients – Windows 8
Server – Windows Server 2012
Beschreibung
In Windows 8 und Windows Server 2012, einschließlich WinPE, wurde der Kernel gesperrt, um zu verhindern, dass durch Start- oder Stammkits eingeführte Schadsoftware Windows Sicherheitsanforderungen des Betriebssystems für signierte Treiber umgangen wird.
Diese Änderung wirkt sich auf alle Kernelmodustreiber für Geräte aus, die den sicheren Start der einheitlichen erweiterbaren Firmwareschnittstelle (UEFI) unterstützen. Der sichere UEFI-Start ist für Windows 8 Zertifizierung für Clientcomputer und optional für Server erforderlich. Sie wirkt sich nicht auf Benutzermodustreiber aus.
Die Standardentwicklung für Kernelmodustreiber umfasst entweder die Verwendung des Debuggens im Kernelmodus oder der Testsignierungseinstellung für Startkonfigurationsdaten (Boot Configuration Data, < > BCD). Beide sind deaktiviert, wenn der gesicherte Start aktiviert ist.
Manifestation
Kernelmodustreiber werden nicht ausgeführt, wenn sie nicht ordnungsgemäß von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden. Das Betriebssystem lässt die Ausführung nicht vertrauenswürdiger Treiber nicht zu, und Standardmechanismen wie Kerneldebuggen und Testsignierung sind nicht zulässig.
Minderung
Zum Testen von Treibern müssen Sie den sicheren Start im BIOS deaktivieren und die anderen Testsignaturanforderungen erfüllen (siehe unten).
Bei einer umfassenderen Verteilung von Treibern müssen sie ordnungsgemäß von einer vertrauenswürdigen Zertifizierungsstelle signiert werden.