微软称从今日起,不再通过Windows更新提供Windows 7和Windows Server 2008系统的驱动。
2021年5月9日,Windows 7和Windows Server 2008的SHA-1 Trusted Root Certificate Authority过期。虽然SHA-1证书过期且不可使用,使用微软Trusted Root Program的合作商仍然可以对未修复的Windows 7和Windows server系统发布SHA-2签名的驱动,这会引发功能降级或设备驱动。这是由于不兼容的SHA-2签名驱动触发了代码完整性校验失败。
2021年6月17日,微软称不再继续通过Windows Update发布Windows 7 SP1、Windows Server 2008和Windows Server 2008 R2的驱动。
但经过签名的驱动仍然可以通过Extended Security Update(ESU,扩展安全更新)项目为批量授权用户提供。如果企业使用ESU项目,就可以继续使用Windows server 更新服务来部署驱动。
通过Windows硬件兼容性项目提交的Windows 7和Windows server驱动在2023年1月前仍然可用。
从即日起,微软合作商要求通过如下步骤来对Windows 7、 Windows Server 2008和Windows Server 2008 R2的驱动签名:
- 移除现有驱动二进制文件的签名;
- 使用INF2CAT生成新的目录文件;
- 使用IHV/OEM证书对安全目录文件签名;
- 将驱动加入HCK文件;
- 使用IHV/OEM证书对HCK文件签名;
- 提交驱动文件包给Partner Center for Windows Hardware来进行签名;
- 从Partner Center for Windows Hardware下载经过签名的驱动文件。
为测试和认证Windows硬件设备,研究人员建议用户使用Windows Hardware Certification Kit (Windows HCK)并遵循更新后的Windows 7、 Windows Server 2008和Windows Server 2008 R2驱动签名过程。微软已于2020年8月3日从微软下载中心中移除了所有用SHA-1证书签名的Windows下载文件。
本文翻译自:
https://www.bleepingcomputer.com/news/microsoft/microsoft-no-longer-offers-windows-7-drivers-via-windows-update/