Paquetes de controladores de dispositivo

Puede agregar paquetes de controladores a una Windows antes, durante o después de implementar la imagen. Al planear cómo agregar paquetes de controladores a la implementación de Windows, es importante comprender cómo se agregan los paquetes de controladores a la imagen, cómo afecta la clasificación de controladores a la implementación y los requisitos de firma digital para los paquetes de controladores.

Agregar paquetes de controladores

Puede agregar paquetes de controladores a una Windows imagen:

Para obtener más información, vea Descripción de las estrategias de mantenimiento.

Agregar paquetes de controladores antes de la implementación en una imagen de Windows sin conexión mediante DISM

El mantenimiento sin conexión se produce cuando se modifica una imagen Windows completamente sin conexión sin arrancar el sistema operativo. Puede agregar, quitar y enumerar paquetes de controladores en una imagen de Windows sin conexión mediante la herramienta de línea de comandos DISM. DISM se instala con Windows y también se distribuye en Windows Assessment and Deployment Kit (Windows ADK). Para obtener más información sobre DISM, vea LA REFERENCIA TÉCNICA ADMINISTRACIÓN Y MANTENIMIENTO DE IMÁGENES DE IMPLEMENTACIÓN DISM para Windows.

Cuando se agrega un paquete de controladores a una imagen sin conexión, se incluye de forma staged o reflected en la imagen:

  • Se reflejan los paquetes de controladores críticos para el arranque. En otras palabras, se agregan al Almacén de controladores y, a continuación, los archivos se copian en la imagen según lo que se especifica en el archivo .inf como destino de los archivos. El sistema completa las tareas de instalación durante el arranque inicial, incluida la actualización del registro.

  • Los paquetes de controladores que no son críticos para el arranque están en fases. En otras palabras, se agregan al Almacén de controladores. Después Windows, PnP detecta el dispositivo e instala el paquete de controladores correspondiente desde el Almacén de controladores.

Puede usar comandos DISM para agregar o quitar paquetes de controladores en una imagen de Windows o entorno de preinstalación Windows (Windows PE) montada o aplicada.

Nota

No se puede usar DISM para quitar paquetes de controladores de bandeja de entrada (paquetes de controladores que están instalados en Windows de forma predeterminada), excepto para algunos controladores de red. Solo se puede usar para quitar paquetes de controladores de terceros o de forma lista para usar.

También puede usar comandos DISM para aplicar un archivo de respuesta desatendido a una imagen montada o Windows aplicación.

Para obtener más información, vea Agregar y quitar controladores a una imagen de Windows sin conexión.

Si usa DISM, solo puede agregar paquetes de controladores .inf a una imagen de Windows sin conexión. Los paquetes de controladores que muestran el logotipo diseñado Windows se proporcionan como .cab archivos. Debe expandir el archivo .cab antes de instalar el archivo .inf si usa DISM para la instalación. Debe instalar un paquete de controladores que se empaquete como un archivo .exe u otro tipo de archivo en un sistema operativo Windows ejecución. Para ejecutar un paquete .exe o Windows installer (.msi), puede agregar un comando personalizado a un archivo de respuesta para instalar el paquete de controladores. Para obtener más información, vea Agregar un comando personalizado a un archivo de respuesta.

Agregar paquetes de controladores durante una implementación automatizada mediante Windows instalación y un archivo de respuesta

Puede usar un archivo de respuesta desatendida para agregar paquetes de controladores a una imagen cuando use Windows programa de instalación para la implementación. En este archivo de respuesta, puede especificar la ruta de acceso de un paquete de controladores en un recurso compartido de red (o una ruta de acceso local). Para ello, agregue los componentes Microsoft-Windows-PnpCustomizationWinPE o Microsoft-Windows-PnpCustomizationNonWinPE y especifique los pases de configuración donde desea instalarlos. Al ejecutar el programa de instalación de Windows y especificar el nombre del archivo de respuesta, los paquetes de controladores de serie se almacenan por etapas (se agregan al Almacén de controladores en la imagen) y se reflejan los paquetes de controladores críticos para el arranque (se agregan a la imagen para que se usen cuando se arranque el equipo). El programa de instalación usa el archivo de respuesta. Al agregar paquetes de controladores durante los pases de configuración windowsPE o offlineServicing, puede agregar paquetes de controladores estándar a la imagen de Windows antes de que se inicie el equipo. También puede usar este método para agregar paquetes de controladores críticos para el arranque a una Windows imagen. Para más información, consulte Add Device Drivers to Windows During Windows Setup (Agregar controladores de dispositivo a Windows durante Windows configuración). Para obtener más información sobre cómo funciona Windows instalación, consulte la referencia técnica Windows configuración.

Si desea agregar paquetes de controladores críticos para el arranque a Windows PE, use el paso de configuración de windowsPE para reflejar los paquetes de controladores antes de iniciar la imagen de Windows PE. La diferencia entre agregar paquetes de controladores críticos para el arranque durante el paso de configuración de WindowsPE y agregarlos durante el paso de configuración offlineServicing es que durante el paso de configuración de windowsPE, los paquetes de controladores críticos para el arranque se reflejan para que Windows PE los use. Durante el paso de configuración offlineServicing, los paquetes de controladores se almacenan en el almacén de controladores en Windows imagen.

Entre los métodos para agregar paquetes de controladores Windows el programa de instalación se incluyen los siguientes:

  • Usar un archivo de respuesta para agregar paquetes de controladores durante el paso de configuración offlineServicing del programa de instalación.
  • Usar un archivo de respuesta para agregar paquetes de controladores durante el paso de configuración de windowsPE del programa de instalación.
  • Para Windows Server, coloque los paquetes de controladores en el directorio $WinPEDriver$ que se instalarán automáticamente durante el paso de configuración de windowsPE del programa de instalación. Todas las letras de unidad con un valor de C o superior se examinan para un directorio $WinPEDriver$. La unidad debe ser accesible para el disco duro durante la instalación. Asegúrese de que la unidad no requiere que se cargue un controlador de almacenamiento para poder acceder a ella.

Para obtener más información sobre estos y otros pasos de configuración, vea Windows de configuración del programa de instalación.

Cuando usa Windows Deployment Services para la implementación en Windows Server, puede agregar paquetes de controladores al servidor y configurarlos para implementarlos en los clientes como parte de una instalación basada en red. Para configurar esta funcionalidad, cree un grupo de controladores en el servidor, agregue paquetes a él y, a continuación, agregue filtros para definir qué clientes instalarán esos paquetes de controladores. Puede configurar los paquetes de controladores para que se instalen en función del hardware del cliente (por ejemplo, fabricante o proveedor de BIOS) y la edición de la imagen de Windows seleccionada durante la instalación. También puede configurar si los clientes instalan todos los paquetes en un grupo de controladores o solo los paquetes de controladores que coinciden con el hardware instalado en el cliente. Para obtener más información sobre cómo implementar esta funcionalidad, consulte la documentación Windows Deployment Services.

Agregar paquetes de controladores después de la implementación en un sistema operativo en ejecución mediante PnPUtil o un archivo de respuesta

Puede usar la herramienta PnPUtil para agregar o quitar paquetes de controladores en un sistema operativo en ejecución. Como alternativa, puede usar un archivo de respuesta para automatizar la instalación de los paquetes de controladores cuando el equipo se arranca en modo de auditoría. Estos métodos pueden ser útiles si desea mantener una imagen de Windows y, a continuación, agregar solo los paquetes de controladores necesarios para una configuración de hardware específica. Para obtener más información sobre cómo usar el modo de auditoría, vea Boot Windows to Audit Mode (Modo de Windows o OOBE).

Entre los métodos para agregar paquetes de controladores en línea a un sistema operativo en ejecución se incluyen los siguientes:

Paquetes de controladores para el modo S

Los paquetes de controladores Windows modo S deben cumplir determinados requisitos. Consulte Windows 10 del controlador S para obtener información sobre los tipos de paquetes de controladores que puede agregar a Windows en modo S.

Administración de carpetas de controladores

Si va a agregar varios paquetes de controladores, debe crear carpetas independientes en la ubicación de origen para cada paquete de controladores o categoría de paquete de controladores. Esto asegura que no haya ningún conflicto al agregar paquetes de controladores que tengan el mismo nombre de archivo. Una vez instalado el paquete de controladores en el sistema operativo, se cambia el nombre a Oem*.inf para garantizar nombres de archivo únicos en el sistema operativo. Por ejemplo, los controladores con almacenamiento por fases denominados MyDriver1.inf y MyDriver2.inf pueden cambiarse a Oem0.inf y Oem1.inf una vez instalados.

Cuando se especifica una ruta de acceso del controlador de dispositivo en un archivo de respuesta, todos los paquetes de controladores .inf del directorio y subdirectorios especificados se agregan al almacén de controladores de la Windows imagen. Por ejemplo, si desea que todos los paquetes de controladores de los directorios C:\MyDrivers\Networking, C:\MyDrivers\Video y C:\MyDrivers\Audio estén disponibles en la imagen de Windows, especifique la ruta de acceso del controlador de dispositivo, C:\MyDrivers, en el archivo de respuesta. Si no usa un archivo de respuesta, puede usar el comando /recurse en DISM. Para obtener más información sobre el comando /recurse , vea DISM Driver Servicing Command-Line Options. Este comando se asegura de que todos los paquetes de controladores de cada subdirectorio se agregarán al Almacén de controladores en la Windows de controladores.

Si todos los paquetes de controladores del directorio y subdirectorios especificados se agregan a la imagen, debe administrar cuidadosamente el archivo de respuesta o los comandos DISM y estos directorios. Haga todo lo posible para solucionar problemas relacionados con el aumento del tamaño de la imagen a través de paquetes de controladores innecesarios.

Descripción de la clasificación de controladores

Uno de los problemas más comunes en la implementación de paquetes de controladores se produce cuando un paquete de controladores se importa correctamente en el almacén de controladores, pero, una vez que el sistema está en línea, PnP encuentra un controlador de mejor clasificación e instala ese controlador en su lugar.

El Windows PnP clasifica estas propiedades del paquete de controladores en orden de importancia:

  1. de firma
  2. Coincidencia de id. de PnP
  3. Fecha del controlador
  4. Versión del controlador

Por ejemplo, si un paquete de controladores tiene una mejor coincidencia de id. de PnP pero no está firmado, tiene prioridad un paquete de controladores firmado que tenga una coincidencia de identificador compatible. Un paquete de controladores anterior puede ser superior a un paquete de controladores más reciente si el paquete de controladores anterior tiene una mejor coincidencia o firma de identificador pnP.

Para obtener más información sobre la clasificación de paquetes de controladores, vea How Windows Ranks Drivers.

Descripción de los requisitos de firma digital

Los paquetes de controladores firmados son una característica de seguridad clave en Windows. Los paquetes de controladores instalados en equipos basados en x64 deben tener una firma digital. Aunque no es necesario, se recomienda asegurarse de que los paquetes de controladores están firmados antes de instalarlos en equipos basados en x86.

Todos los archivos binarios del controlador crítico para el arranque deben contener firmas incrustadas. Por ejemplo, el modo kernel .sys archivos que son críticos para acceder al disco de arranque.

Hay dos maneras de firmar un archivo binario del controlador:

  • Los archivos binarios del controlador de kernel crítico para el arranque se firman digitalmente a través de un método denominado firma incrustada. Las firmas insertadas mejoran el rendimiento de carga de arranque. En el caso de los archivos binarios del controlador que no forman parte de un paquete de controladores PnP, las firmas se deben incrustar para que no se pierdan durante una actualización del sistema operativo.

  • Los paquetes de controladores PnP firmados digitalmente contienen un archivo de catálogo (.cat) firmado digitalmente. El archivo de catálogo contiene un hash de todos los archivos del archivo .inf del paquete de controladores para la instalación. Un archivo de catálogo firmado es todo lo que se necesita para instalar correctamente la mayoría de los paquetes de controladores PnP.

Cualquiera de estos orígenes puede firmar paquetes de controladores:

  • Windows Hardware Quality Labs (WHQL), que garantiza que los paquetes de controladores son aptos para el programa de certificación de hardware Windows hardware. WHQL crea un catálogo de paquetes de controladores firmados. En el caso de los archivos binarios de controladores críticos para el arranque, debe agregar firmas incrustadas en lugar de depender del catálogo. Las firmas insertadas en archivos binarios de controladores críticos para el arranque optimizan el rendimiento de arranque del sistema operativo al eliminar el requisito de buscar el archivo de catálogo adecuado cuando el cargador del sistema operativo comprueba la firma del controlador.

  • Una entidad de certificación (CA), mediante un certificado de publicación de software (SPC). En el caso de los archivos binarios del controlador de kernel basados en x64 y críticos para el arranque, Microsoft proporciona un certificado adicional que se puede usar para firmar de forma cruzada los archivos binarios del controlador. Los archivos binarios del controlador que no son críticos para el arranque no tienen que estar firmados de forma cruzada por Microsoft ni incrustados. Puede usar el proceso de firma Windows código en modo kernel si necesita la flexibilidad de firmar los archivos binarios del controlador usted mismo. Para obtener información sobre las firmas digitales para los módulos de kernel en sistemas basados en x64, consulte Directrices del controlador de 64 bits.

Para las pruebas, también puede usar certificados de prueba.

Si ha recibido un paquete de controladores sin firmar de un proveedor para realizar pruebas, puede usar una firma de prueba para validar el paquete de controladores y probar la instalación. La firma de prueba es el acto de firmar digitalmente una aplicación mediante una clave privada y un certificado de firma de código correspondiente que solo es de confianza en los límites de un entorno de prueba.

Estas son las formas principales de generar estos certificados de firma de pruebas:

  • Los programadores pueden generar sus propios certificados autofirmados.
  • Una entidad de certificación puede emitir certificados.

Para cualquiera de las dos opciones, los certificados de firma de pruebas deben identificarse claramente como adecuados solo para las pruebas. Por ejemplo, la palabra "test" se puede incluir en el nombre del firmantes del certificado y se pueden incluir declinaciones de responsabilidades legales adicionales en el certificado. Los certificados de producción emitidos por entidades de certificación comerciales deben reservarse exclusivamente para la firma de versiones beta públicas y versiones finales públicas de software y software de línea de negocios interno.

Para más información, consulte Requisitos para la firma y el almacenamiento provisional del controlador de dispositivo.

Al agregar paquetes de controladores firmados por pruebas a Windows, tenga en cuenta estos puntos:

  • Debe instalar los certificados de prueba en un sistema operativo en ejecución. No se pueden instalar sin conexión.

  • El certificado de la entidad de certificación que emitió el certificado de prueba debe insertarse en entidades de certificación raíz de confianza almacén de certificados.

    [nota] Si el certificado de prueba es autofirmado (por ejemplo, mediante la herramienta de creación de certificados [MakeCert]), el certificado de prueba debe insertarse en el almacén de certificados entidades de certificación raíz de confianza prueba.

  • El certificado de prueba que se usa para firmar el paquete de controladores debe insertarse en el almacén de certificados publicadores de confianza.

  • Debe agregar certificados de prueba en línea (a una instancia de arranque de la imagen de Windows) para poder usar la herramienta de línea de comandos Administración y mantenimiento de imágenes de implementación (DISM) para agregar paquetes de controladores firmados por pruebas sin conexión.

  • DISM valida las certificaciones de WHQL solo para paquetes de controladores críticos para el arranque. Sin embargo, una opción de línea de comandos DISM puede invalidar este comportamiento. Para obtener más información, vea DISM Driver Servicing Command-Line Options(Opciones de mantenimiento del controlador DISM).

  • Para instalar y comprobar paquetes de controladores firmados por pruebas en sistemas operativos de 64 bits, establezca la configuración de arranque de Windows en modo de prueba mediante la herramienta BCDedit en el equipo de destino. El modo de prueba comprueba que la imagen del controlador está firmada, pero la validación de la ruta de acceso del certificado no requiere que el emisor se configure como una entidad raíz de confianza. Para que la lógica de clasificación y instalación del controlador PnP trate correctamente el paquete de controladores, el certificado de prueba debe almacenarse en el almacén de certificados de confianza de la imagen de sistema operativo. Para obtener información sobre el modo de prueba durante el desarrollo, vea Directrices del controlador de 64 bits.

Precaución

Si se instala un paquete de controladores críticos para el arranque sin signo o no válido en un equipo basado en x64, el equipo no se arrancará. El paquete de controladores críticos para el arranque sin signo o no válidos producirá un error de detenerse. Debe quitar el paquete de controladores de la imagen. Si va a realizar una actualización, asegúrese de que los paquetes de controladores sin firmar y sus aplicaciones, servicios o dispositivos asociados se quitan o actualizan con un paquete de controladores firmado.

Si no habilita el modo de prueba mediante BCDedit y tiene instalado un paquete de controladores firmado por pruebas, el equipo no se arrancará. Si usa DISM para quitar el paquete de controladores, es posible que no se quiten todas las instancias del paquete de controladores reflejado. Por lo tanto, se recomienda no implementar imágenes que tengan instalados paquetes de controladores firmados por pruebas.

Recursos adicionales

Estos sitios web proporcionan más información sobre los requisitos del paquete de controladores:

Agregar una ruta de acceso a controladores de dispositivos a un archivo de respuesta

Agregar un controlador en línea en modo de auditoría

Opciones de mantenimiento de Command-Line DISM

Agregar y quitar controladores a una imagen de Windows sin conexión

Agregar controladores de dispositivo a Windows durante la Windows instalación

Mantener configuraciones de controlador al capturar una Windows imagen

Opciones de Command-Line BCDboot

Solución de problemas de implementación y archivos de registro