Categorías de firma e instalación de controladores

  • Artículo

Antes de Que Windows Vista y versiones posteriores de Windows almacenen un paquete de controladores en el Almacén de controladores e instalen el paquete de controladores en un dispositivo, el sistema operativo analiza la firma del paquete de controladores. Si hay una firma presente, Windows valida todos los archivos del paquete de controladores con esa firma. En función de los resultados de este análisis, Windows coloca el paquete de controladores en una de las siguientes categorías:

Firmado por una entidad de firma de Microsoft Windows.
Estos paquetes de controladores son bandeja de entrada, firmados por WHQL o firmados por Windows Sustained Engineering.

Firmado por un editor de confianza.
Estos paquetes de controladores fueron firmados por un tercero y el usuario ha seleccionado explícitamente para confiar siempre en los paquetes de controladores firmados de este publicador.

Firmado por un publicador que no es de confianza.
Estos paquetes de controladores fueron firmados por un tercero y el usuario ha seleccionado explícitamente nunca confiar en los paquetes de controladores de este publicador.

Firmado por el publicador de confianza desconocida.
Estos paquetes de controladores fueron firmados por un tercero y el usuario no ha indicado si confiar en este publicador.

Alterado.
Estos paquetes de controladores están firmados, pero Windows ha detectado que al menos un archivo del paquete de controladores se modificó desde que se firmó el paquete.

Unsigned.
Estos paquetes de controladores no están firmados o tienen una firma no válida. Las firmas válidas se deben crear mediante un certificado emitido por una entidad de certificación (CA) de confianza.

Después de clasificar el paquete de controladores, Windows determina si debe almacenarse provisionalmente en el almacén de controladores e instalarse en un dispositivo. El proceso depende del tipo de usuario que inició la acción del paquete de controladores. En el caso de los usuarios no administrativos y estándar, Windows no solicita al usuario. Instala automáticamente los paquetes de controladores firmados a través de una entidad de firma de Windows o un publicador de confianza, y se niega silenciosamente a instalar todos los demás.

Los usuarios administrativos tienen más flexibilidad:

  • Si un paquete de controladores está firmado por una entidad de firma de Windows o un publicador de confianza, Windows preconfigura e instala el paquete de controladores sin preguntar al usuario.

  • Si el paquete de controladores está firmado por un publicador que no es de confianza, Windows no instala el paquete de controladores. Windows no solicita al usuario en este caso, pero registra un error en Setupapi.dev.log.

  • Si un publicador de confianza desconocida firmó el paquete de controladores, Windows solicita al usuario el siguiente cuadro de diálogo Seguridad de Windows.

    captura de pantalla del cuadro de diálogo de seguridad de Windows para un controlador que tiene una confianza desconocida.

    El usuario debe seleccionar explícitamente si desea instalar este paquete de controladores. El usuario también puede agregar el publicador a la lista de publicadores de confianza en el sistema del usuario. Si el usuario selecciona esta opción, todos los paquetes de controladores futuros de este publicador se tratan como de confianza cuando se instalan en el sistema del usuario. Si el usuario no selecciona esta opción, el publicador permanece en la categoría de confianza desconocida y los usuarios administrativos siguen recibiendo este mensaje si intentan instalar paquetes de controladores adicionales de este publicador.

  • Si el paquete de controladores no tiene una firma válida o se modificó, Windows solicita a los administradores el siguiente cuadro de diálogo Seguridad de Windows. De nuevo, el usuario debe seleccionar explícitamente si desea instalar el paquete de controladores.

    captura de pantalla del cuadro de diálogo de seguridad de Windows para un controlador que no tiene una firma válida.

Nota En Windows Vista y versiones posteriores de Windows, para que los usuarios puedan reproducir contenido premium de última generación, como HD DVD y otros formatos con licencia bajo la especificación del Sistema de contenido de acceso avanzado (AACS), se deben firmar todos los componentes en modo kernel del sistema. Esto significa que, si un usuario administrativo selecciona instalar un paquete de controladores sin firmar o modificado, el sistema no puede reproducir contenido Premium. Para obtener más información sobre cómo proteger componentes multimedia en Windows Vista, vea Firma de código para componentes multimedia protegidos en Windows Vista.