微软将删除对以内核模式运行的代码签名根证书的支持。过期的驱动程序将不再在Windows 10电脑上加载、运行和安装。
支持具有内核模式签名功能的根证书将于明年到期
此更改是微软受信任的根程序的一部分,仅影响Windows 10电脑。一旦应用了这些更改,过期的驱动程序将不再在Windows 10设备上加载、运行和安装。
微软已发布了受信任的跨证书过期日期列表,所有列出的受信任的交叉证书将在2021年2月或2021年4月到期。
商业发行证书、发布者证书和商业测试证书将过期,这意味着由这些证书签名的驱动程序将变得不可用。
早在2019年初,微软便通知硬件开发人员有关其受信任的根程序的更改。大多数驱动程序仍会继续像以前那样工作,但是多年未更新的旧驱动程序有可能会停止工作。
Visual Studio附带的SignTool.exe命令行工具使你可以检查应用更改后驱动程序是否将继续运行。
为此,你需要运行命令(< mydriver.sys >应替换为驱动程序的名称),并检查“交叉证书链”参数是否以微软代码验证根结尾。如果是这样,则签名证书会受到这些更改的影响。
- verify /v /kp <mydriver.sys>
受此更改影响的Windows用户有几个选项可以解决此问题。例如,如果驱动程序更新不可用,那么可以关闭驱动程序签名强制。应当理解,该措施降低了系统的安全性,并且还可能影响稳定性。建议你在进行任何更改之前先创建系统备份。
禁用驱动程序签名强制执行的最简单方法之一是在管理员提示符下运行以下命令:
- bcdedit.exe /set nointegritychecks on
要恢复原始行为,请运行以下命令:
- bcdedit.exe /set nointegritychecks off