Пакеты драйверов устройств

пакеты драйверов можно добавить в образ Windows до, во время или после развертывания образа. при планировании добавления пакетов драйверов в развертывание Windows важно понимать, как добавляются пакеты драйверов к образу, как ранжирование драйверов влияет на развертывание, а также требования к цифровой подписи для пакетов драйверов.

Добавление пакетов драйверов

пакеты драйверов можно добавить в образ Windows:

Дополнительные сведения см. в разделе Основные сведения о стратегиях обслуживания.

добавление пакетов драйверов перед развертыванием в автономном образе Windows с помощью DISM

автономное обслуживание происходит при изменении Windows образа полностью вне сети без загрузки операционной системы. вы можете добавлять, удалять и перечислять пакеты драйверов в автономном Windows образе с помощью программы командной строки DISM. DISM устанавливается с Windows и также распространяется в комплекте средств для развертывания и оценки Windows (Windows ADK). Дополнительные сведения о DISM см. в статье Технический справочник по обслуживанию образов развертывания и управления ими для Windows.

При добавлении пакета драйверов в образ в автономном режиме он помещается в промежуточный режим или отражается в образе:

  • Пакеты драйверов, критически важных для загрузки , отражены. Другими словами, они добавляются в хранилище драйверов , а затем файлы копируются в образ в соответствии с тем, что указано в INF-файле в качестве места назначения файлов. Система завершает задачи установки во время начальной загрузки, включая обновление реестра.

  • Пакеты драйверов, которые не являются критическими для загрузки , являются промежуточными. Другими словами, они добавляются в хранилище драйверов. после запуска Windows PnP обнаруживает устройство и устанавливает соответствующий пакет драйверов из хранилища драйверов.

команды DISM можно использовать для добавления или удаления пакетов драйверов на подключенном или примененном Windows или среда предустановки Windows (Windows PE).

Примечание

вы не можете использовать DISM для удаления пакетов драйверов папки "входящие" (пакеты драйверов, установленные на Windows по умолчанию), за исключением некоторых сетевых драйверов. Его можно использовать только для удаления пакетов драйверов сторонних производителей или поставщиков из списка.

вы также можете использовать команды DISM для применения файла ответов автоматической установки к подключенному или примененному образу Windows.

дополнительные сведения см. в разделе добавление и удаление драйверов для автономного Windows образа.

если вы используете DISM, вы можете добавлять только пакеты драйверов. inf в автономный образ Windows. пакеты драйверов, которые отображают эмблему, предназначенную для Windows, предоставляются в виде .cab файлов. Перед установкой INF-файла необходимо развернуть файл .cab, если вы используете DISM для установки. необходимо установить пакет драйвера, упакованный в виде .exeного файла, или другого типа файлов в работающей Windows операционной системе. чтобы запустить пакет драйверов .exe или установщик Windows (.msi), можно добавить пользовательскую команду в файл ответов для установки пакета драйверов. Дополнительные сведения см. в разделе Добавление пользовательской команды в файл ответов.

добавление пакетов драйверов во время автоматического развертывания с помощью программа установки Windows и файла ответов

файл ответов автоматической установки можно использовать для добавления пакетов драйверов в образ при использовании программа установки Windows для развертывания. В этом файле ответов можно указать путь к пакету драйвера в сетевой папке (или локальном пути). это можно сделать, добавив компоненты microsoft-Windows-пнпкустомизатионвинпе или microsoft-Windows-пнпкустомизатионнонвинпе и указав этапы конфигурации, в которых их нужно установить. при запуске программа установки Windows и задании имени файла ответов, готовые пакеты драйверов помещаются в промежуточное состояние (добавляются в хранилище драйверов на изображении), а пакеты драйверов, критически загружаемые для загрузки, отражаются (добавляются к образу, чтобы они использовались при загрузке компьютера). Программа установки использует файл ответов. добавляя пакеты драйверов во время этапов настройки windowsPE или offlineServicing , вы можете добавить готовые пакеты драйверов в Windows образ перед запуском компьютера. этот метод также можно использовать для добавления пакетов драйверов, критических для загрузки, в образ Windows. дополнительные сведения см. в разделе добавление драйверов устройств в Windows во время программа установки Windows. дополнительные сведения о работе программа установки Windows см. в техническом справочнике по программа установки Windows.

если вы хотите добавить пакеты драйверов, критические для загрузки, в Windows PE, используйте этап настройки windowsPE , чтобы отразить пакеты драйверов перед загрузкой образа PE Windows. разница между добавлением пакетов драйверов, критических для загрузки, во время этапа настройки windowspe и добавлением их во время этапа настройкиwindowspe заключается в том, что во время этапа настройки для использования Windows PE будут отражены пакеты драйверов, критически важные для загрузки. во время этапа настройки offlineServicing пакеты драйверов помещаются в хранилище драйверов на Windowsном образе.

ниже перечислены методы добавления пакетов драйверов с помощью программа установки Windows.

  • Использование файла ответов для добавления пакетов драйверов во время этапа настройки offlineServicing .
  • Использование файла ответов для добавления пакетов драйверов во время этапа настройки windowsPE программы установки.
  • для Windows Server размещение пакетов драйверов в каталоге $WinPEDriver $ автоматически устанавливается на этапе настройки windowsPE программы установки. Для каталога $WinPEDriver $ проверяются все буквы диска со значением C или выше. Во время установки диск должен быть доступен для жесткого диска. Убедитесь, что диск не требует загрузки драйвера хранилища, прежде чем он сможет получить к нему доступ.

дополнительные сведения об этих и других этапах настройки см. в разделе программа установки Windows конфигурации.

при использовании служб Windows deployment Services для развертывания в Windows server можно добавить пакеты драйверов на сервер и настроить их для развертывания на клиентах в рамках сетевой установки. Эта функция настраивается путем создания группы драйверов на сервере, добавления в нее пакетов, а затем добавления фильтров для определения того, какие клиенты будут устанавливать эти пакеты драйверов. можно настроить установку пакетов драйверов на основе оборудования клиента (например, производителя или поставщика BIOS) и выпуска образа Windows, выбранного во время установки. Можно также настроить, будут ли клиенты устанавливать все пакеты в группе драйверов или только пакеты драйверов, соответствующие установленному оборудованию на клиенте. дополнительные сведения о реализации этой функции см. в документации по службам развертывания Windows.

Добавление пакетов драйверов после развертывания в работающей операционной системе с помощью средства PnPUtil или файла ответов

Средство PnPUtil можно использовать для добавления или удаления пакетов драйверов в работающей операционной системе. Кроме того, можно использовать файл ответов для автоматизации установки пакетов драйверов при загрузке компьютера в режиме аудита. эти методы могут оказаться полезными, если требуется сохранить простой Windows образ, а затем добавить только те пакеты драйверов, которые необходимы для конкретной конфигурации оборудования. дополнительные сведения об использовании режима аудита см. в разделе Boot Windows в режиме аудита или в OOBE.

Ниже перечислены методы добавления пакетов драйверов в работающую операционную систему.

Пакеты драйверов для режима S

пакеты драйверов в режиме Windows S должны соответствовать определенным требованиям. ознакомьтесь с требованиями к драйверу Windows 10 s , чтобы узнать о типах пакетов драйверов, которые можно добавить в Windows в режиме S.

Управление папками драйверов

При добавлении нескольких пакетов драйверов следует создать отдельные папки в исходном расположении для каждого пакета драйверов или категории пакетов драйверов. Это гарантирует отсутствие конфликтов при добавлении пакетов драйверов с одинаковыми именами файлов. После установки пакета драйверов в операционной системе он переименовывается в ОЕМ*. INF, чтобы гарантировать уникальность имен файлов в операционной системе. Например, промежуточные драйверы с именами MyDriver1. INF и MyDriver2. inf могут быть переименованы в oem0. INF и OEM1. INF после их установки.

при указании пути к драйверу устройства в файле ответов все пакеты драйверов inf в указанном каталоге и подкаталогах добавляются в хранилище драйверов образа Windows. например, если требуется, чтобы все пакеты драйверов в каталогах к:\мидриверс\нетворкинг, к:\мидриверс\видео и к:\мидриверс\аудио были доступны в образе Windows, укажите путь к драйверу устройства к:\мидриверс в файле ответов. Если вы не используете файл ответов, можно использовать команду /recurse в DISM. Дополнительные сведения о команде /recurse см. в разделе Параметры Command-Line обслуживания драйвера DISM. эта команда гарантирует, что все пакеты драйверов в каждом подкаталоге будут добавлены в хранилище драйверов в образе Windows.

Если в образ добавляются все пакеты драйверов в указанном каталоге и подкаталогах, следует внимательно управлять файлом ответов или командами DISM и этими каталогами. Узнайте о том, как увеличить размер образа с помощью ненужных пакетов драйверов.

Основные сведения о ранжировании драйверов

Одна из наиболее распространенных проблем при развертывании пакетов драйверов возникает, когда пакет драйверов успешно импортируется в хранилище драйверов, но после подключения системы служба PnP находит драйвер лучшего ранжирования и устанавливает этот драйвер.

диспетчер Windows PnP ранжирует эти свойства пакета драйверов в порядке важности.

  1. Сертификат для подписи маркера
  2. Соответствие ИД PnP
  3. Дата драйвера
  4. Версия драйвера

Например, если пакет драйвера имеет более подходящий идентификатор PnP, но не подписан, приоритет имеет подписанный пакет драйверов с совместимым ИДЕНТИФИКАТОРом. Более старый пакет драйверов может использовать более новый пакет драйверов, если более старый пакет драйверов имеет более высокий приоритет, совпадающий с ИДЕНТИФИКАТОРом PnP или подписью.

дополнительные сведения о ранжировании пакетов драйверов см. в статье Windows ранжирования драйверов.

Основные сведения о требованиях к цифровой подписи

Подписанные пакеты драйверов являются ключевой функцией безопасности в Windows. Пакеты драйверов, установленные на компьютерах на базе процессоров x64, должны иметь цифровую подпись. Хотя это не обязательно, рекомендуется убедиться, что пакеты драйверов подписаны, прежде чем устанавливать их на компьютеры на базе x86.

Все двоичные файлы драйверов, критические для загрузки, должны содержать внедренные подписи. Например, в режиме ядра .sys файлы, критически важные для доступа к загрузочному диску.

Двоичный файл драйвера можно подписать двумя способами:

  • Двоичные файлы драйвера в режиме ядра, необходимые для загрузки, снабжены цифровой подписью с помощью метода, именуемого встроенным подписыванием. Внедренные подписи улучшают производительность загрузки при загрузке. Для двоичных файлов драйвера, которые не являются частью пакета драйвера PnP, подписи должны быть внедрены, чтобы они не были потеряны во время обновления операционной системы.

  • Пакеты драйверов PnP с цифровой подписью содержат файл каталога (CAT) с цифровой подписью. Файл каталога содержит хэш всех файлов в INF-файле пакета драйверов для установки. Подписанный файл каталога — это все, что необходимо для правильной установки большинства пакетов драйверов PnP.

Один из этих источников может подписывать пакеты драйверов:

  • Windows в лаборатории WHQL, которая гарантирует, что пакеты драйверов соответствуют Windows программе сертификации оборудования. WHQL создает каталог подписанных пакетов драйверов. Для двоичных файлов драйверов, критических для загрузки, следует добавить внедренные подписи вместо того, чтобы полагаться на каталог. Встроенные подписи в двоичных файлах драйверов, критических для загрузки, оптимизируют производительность загрузки операционной системы, устраняя необходимость в поиске соответствующего файла каталога, когда загрузчик операционной системы проверяет подпись драйвера.

  • Центр сертификации (ЦС) с помощью сертификата издателя программного обеспечения (SPC). Для двоичных файлов драйверов ядра, критически важных для загрузки и x64, корпорация Майкрософт предоставляет дополнительный сертификат, который можно использовать для перекрестной подписи двоичных файлов драйвера. Двоичные файлы драйверов, не являющиеся критическими для загрузки, не должны быть подписаны корпорацией Майкрософт или внедренными. вы можете использовать Windows процесс подписи кода в режиме ядра, если вам нужна гибкость для самостоятельного подписывания двоичных файлов драйвера. Сведения о цифровых подписях для модулей ядра в системах на базе x64 см. в руководстве по драйверам 64-разрядной версии.

Для тестирования можно также использовать тестовые сертификаты.

Если вы получили неподписанный пакет драйверов от поставщика для тестирования, можно использовать тестовую подпись для проверки пакета драйвера и проверки установки. Тестовая подпись — это акт цифровой подписи приложения с помощью закрытого ключа и соответствующего сертификата подписи кода, который является доверенным только в ограничении тестовой среды.

Ниже приведены основные способы создания таких сертификатов подписи тестирования.

  • Разработчики могут создавать собственные самозаверяющие сертификаты.
  • ЦС может выдавать сертификаты.

В обоих вариантах сертификаты подписи тестов должны быть четко идентифицированы в соответствии с проверкой. Например, слово «test» можно включать в имя субъекта сертификата, а в сертификат могут включаться дополнительные юридические заявления об отказе. Производственные сертификаты, выданные коммерческими центрами сертификации, должны быть зарезервированы только для подписывания общедоступных бета-версий и бесплатных окончательных выпусков программного обеспечения и внутреннего бизнес-программного обеспечения.

Дополнительные сведения см. в разделе требования для подписывания и промежуточного хранения драйверов устройств.

при добавлении пакетов драйверов, подписанных тестами, в Windows следует учитывать следующие моменты.

  • Необходимо установить тестовые сертификаты в работающей операционной системе. Их нельзя установить в автономном режиме.

  • Сертификат центра сертификации, выдавшего тестовый сертификат, должен быть вставлен в хранилище сертификатов доверенных корневых центров сертификации.

    метим Если тестовый сертификат является самозаверяющим, например с помощью средства создания сертификатов (MakeCert), то тестовый сертификат должен быть вставлен в хранилище сертификатов доверенных корневых центров сертификации.

  • Тестовый сертификат, используемый для подписи пакета драйверов, должен быть вставлен в хранилище сертификатов "Доверенные издатели".

  • необходимо добавить тестовые сертификаты в оперативный режим (в загруженный экземпляр образа Windows), прежде чем можно будет использовать программу командной строки для обслуживания образов развертывания и управления ими (DISM) для добавления пакетов драйверов, подписанных с помощью тестовой подписи, в автономный режим.

  • DISM проверяет сертификаты WHQL только для пакетов драйверов, критических для загрузки. Но параметр командной строки DISM может переопределить это поведение. Дополнительные сведения см. в разделе параметры Command-Line обслуживания драйвера DISM.

  • чтобы установить и проверить пакеты драйверов, подписанные с помощью тестовой подписи, в 64-разрядных операционных системах, задайте конфигурацию загрузки Windows в тестовом режиме с помощью средства BCDedit на конечном компьютере. Тестовый режим проверяет, что образ драйвера подписан, но для проверки пути сертификата не требуется, чтобы издатель был настроен в качестве доверенного корневого центра сертификации. Чтобы правильно обработать пакет драйвера в логике установки и ранжирования драйвера PnP, тестовый сертификат должен храниться в хранилище доверенных сертификатов образа операционной системы. Сведения о тестовом режиме во время разработки см. в разделе рекомендации по драйверам 64-bit.

Внимание!

Если на компьютере с архитектурой x64 установлен неподписанный или недопустимый критически важный для загрузки пакет драйверов, компьютер не будет загружаться. Неподписанный или недопустимый критически важный для загрузки пакет драйверов приведет к ошибке. Необходимо удалить пакет драйверов из образа. При выполнении обновления убедитесь, что неподписанные пакеты драйверов и связанные с ними приложения, службы или устройства удалены или обновлены с подписанным пакетом драйверов.

Если вы не включите режим тестирования с помощью BCDedit, и у вас установлен пакет драйверов, подписанный тестом, компьютер не будет загружаться. При использовании DISM для удаления пакета драйверов все экземпляры отраженного пакета драйверов могут не быть удалены. Поэтому рекомендуется не развертывать образы с установленными пакетами драйверов, подписанными тестами.

Дополнительные ресурсы

Эти веб-сайты содержат дополнительные сведения о требованиях к пакету драйверов:

Добавление пути к драйверу устройства в файл ответов

Добавление драйвера в режим "в сети" в режиме аудита

Параметры Command-Line обслуживания драйвера DISM

добавление и удаление драйверов для автономного Windows образа

добавление драйверов устройств в Windows во время программа установки Windows

поддержание конфигураций драйверов при записи образа Windows

Параметры Command-Line BCDboot

Устранение неполадок развертывания и файлы журналов