ドライバー署名ポリシー
Note
Windows 10 バージョン 1607 以降では、開発者ポータルによって署名されていない新しいカーネル モード ドライバーは読み込まれません。 ドライバーに署名するには、まず Windows ハードウェア開発者センタープログラムに登録します。 ダッシュボード アカウントを確立するには、 EV コード署名証明書 が必要であることに注意してください。
ポータルにドライバーを送信するには、さまざまな方法があります。 運用ドライバーの場合は、以下の説明に従って HLK/HCK テスト ログを送信する必要があります。 Windows 10クライアントのみのシステムでテストする場合は、HLKテストを必要としない 構成証明署名 のためにドライバーを送信できます。 または、「新しいハードウェア提出の作成」ページの説明に 従って、テスト署名用のドライバーを提出 することもできます。
例外
次のいずれかに該当する場合、クロス署名されたドライバーは引き続き許可されます。
- PC は、Windows の以前のリリースから Windows 10 バージョン 1607 にアップグレードされました。
- BIOS でセキュア ブートがオフになっています。
- ドライバーは、2015 年 7 月 29 日より前に発行されたエンド エンティティ証明書で署名され、サポートされているクロス署名された CA にチェーンされました。
システムが正常に起動できないのを防ぐために、ブート ドライバーはブロックされませんが、プログラム互換性アシスタントによって削除されます。
Windows のクライアント バージョンのドライバーに署名する
Windows 10 のドライバーに署名するには、次の手順に従います。
- 認定する Windows 10 の各バージョンについて、そのバージョンの Windows HLK (ハードウェア ラボ キット) をダウンロードし、そのバージョンのクライアントに対して完全な証明書パスを実行します。 バージョンごとに 1 つのログが表示されます。
- 複数のログがある場合は、最新の HLK を使用して 1 つのログにマージします。
- ドライバーとマージされた HLK テスト結果を Windows ハードウェア開発者センター ダッシュボード ポータルに 送信します。
バージョン固有の詳細については、対象とする Windows バージョンの WHCP (Windows ハードウェア互換性プログラム) ポリシー を確認してください。
Windows 7、Windows 8、または Windows 8.1 のドライバーに署名するには、適切な HCK (ハードウェア認定キット) を使用します。 詳細については、「Windowsハードウェア認定キット ユーザーズ ガイド」を参照してください。
Windows の旧バージョンのドライバーに署名する
Windows 10 バージョン 1607 より前では、次の種類のドライバーでは、クロス署名のために Microsoft のクロス証明書と共に使用される Authenticode 証明書が必要です。
- カーネル モード デバイス ドライバー。
- ユーザーモード USB デバイス ドライバー
- 保護されたコンテンツをストリーミングするドライバー。 これには、保護されたユーザー モード オーディオ (PUMA) と保護されたオーディオ パス (PAP) を使用するオーディオ ドライバーと、保護されたビデオ パス出力保護管理 (PVP-OPM) コマンドを処理するビデオ デバイス ドライバーが含まれます。 詳細については、「保護されたメディア コンポーネントのコード署名」を参照してください 。
バージョン別の署名要件
次の表は、クライアント オペレーティング システムのバージョンの署名ポリシーを示しています。
セキュア ブートは Windows Vista および Windows 7 には適用されないことに注意してください。
| 適用対象: | Windows Vista、Windows 7;セキュア ブートがオフになっている Windows 8 以降 | Windows 8、Windows 8.1、Windows 10、バージョン 1507、1511 (セキュア ブートがオン) | セキュア ブートがオンになっている Windows 10 バージョン 1607、1703、1709 | セキュア ブートがオンになっている Windows 10 バージョン 1803 以降 |
|---|---|---|---|---|
| アーキテクチャ: | 64 ビットのみ、32 ビットでは署名は必要ありません | 64 ビット、32 ビット | 64 ビット、32 ビット | 64 ビット、32 ビット |
| 必須シグネチャ: | 埋め込みファイルまたはカタログ ファイル | 埋め込みファイルまたはカタログ ファイル | 埋め込みファイルまたはカタログ ファイル | 埋め込みファイルまたはカタログ ファイル |
| 署名アルゴリズム: | SHA2 | SHA2 | SHA2 | SHA2 |
| 証明書: | コード整合性によって信頼される標準ルート | コード整合性によって信頼される標準ルート | Microsoft Root Authority 2010、Microsoft Root Certificate Authority、Microsoft Root Authority | Microsoft Root Authority 2010、Microsoft Root Certificate Authority、Microsoft Root Authority |
ドライバー コード署名に加えて、ドライバーをインストールするための PnP デバイス インストール署名要件も満たす必要があります。 詳細については、 プラグ アンド プレイ (PnP) デバイスのインストール署名要件を参照してください。
ELAM ドライバーに署名する方法については、「マルウェア対策の早期起動」を参照してください。
参照
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示