Laden signierter Testtreiber aktivieren

Standardmäßig lädt Windows keine testsignierten Kernelmodustreiber. Um dieses Verhalten zu ändern und das Laden von testsignierten Treibern zu aktivieren, verwenden Sie den Startkonfigurationsdaten-Editor, BCDEdit.exe, um TESTSIGNING, eine Startkonfigurationsoption, zu aktivieren oder zu deaktivieren. Sie müssen über Administratorrechte verfügen, um diese Option zu aktivieren.

Hinweis

Ab Windows Vista erfordert die Kernelmodus-Codesignaturrichtlinie, dass der gesamte Kernelmoduscode über eine digitale Signatur verfügt, die auf 64-Bit-Versionen von Windows geladen werden kann. In den meisten Fällen kann jedoch ein nicht signierter Treiber auf 32-Bit-Versionen von Windows installiert und geladen werden. Weitere Informationen finden Sie unter Treibersignaturrichtlinie.

Administratorrechte erforderlich

Um BCDEdit zu verwenden, müssen Sie Mitglied der Gruppe "Administratoren" im System sein und den Befehl über eine Eingabeaufforderung mit erhöhten Rechten ausführen. Wenn Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten öffnen möchten, geben Sie cmd in das Suchfeld in der Windows-Taskleiste ein, halten Sie die Eingabeaufforderung (oder klicken Sie mit der rechten Maustaste darauf) in den Suchergebnissen, und wählen Sie dann "Als Administrator ausführen" aus.

Warnung

Administrative Rechte sind erforderlich, um BCDEdit zum Ändern von Startkonfigurationsdaten zu verwenden. Wenn Sie einige Starteingabeoptionen mithilfe von BCDEdit /set ändern, können Sie den Computer inoperierbar machen. Alternativ können Sie das Systemkonfigurationsprogramm (MSConfig.exe) verwenden, um Starteinstellungen zu ändern.

Aktivieren oder Deaktivieren der Verwendung von testsigniertem Code

Führen Sie BCDEdit-Befehlszeilen aus, um das Laden von testsigniertem Code zu aktivieren oder zu deaktivieren. Damit eine Änderung wirksam wird, unabhängig davon, ob die Option aktiviert oder deaktiviert wird, müssen Sie den Computer nach dem Ändern der Konfiguration neu starten.

Verwenden Sie zum Aktivieren von testsigniertem Code die folgende BCDEdit-Befehlszeile:

:: If this command results in "The value is protected by Secure Boot policy and cannot be modified or deleted"
:: Then reboot the PC, go into BIOS settings, and disable Secure Boot. BitLocker may also affect your ability to modify this setting.
Bcdedit.exe -set TESTSIGNING ON

Hinweis

Ab Windows 10, Version 1507, müssen Sie die Binärdatei mit einem selbst erstellten Testzertifikat testen, wenn Speicherintegrität /HVCI (Hypervisor-Codeintegrität) aktiviert ist. Eine nicht signierte Binärdatei wird nicht unterstützt.

Verwenden Sie die folgende BCDEdit-Befehlszeile, um die Verwendung von testsigniertem Code zu deaktivieren:

Bcdedit.exe -set TESTSIGNING OFF

Die folgende Abbildung zeigt das Ergebnis der Verwendung der BCDEdit-Befehlszeile zum Aktivieren der Testsignatur.

Screenshot der Ergebnisse der Verwendung von Testsigning, einer Startkonfigurationsoption.

Das Verhalten von Windows beim Laden von testsigniertem Code ist aktiviert.

Wenn das Laden von testsigniertem Code aktiviert ist, führt Windows die folgenden Aktionen aus:

  • Zeigt ein Wasserzeichen mit dem Text "Testmodus" in der unteren rechten Ecke des Desktops an, um Benutzer daran zu erinnern, dass das System die Testsignatur aktiviert hat.

  • Das Betriebssystemladeprogramm und die Kernelladetreiber, die von einem beliebigen Zertifikat signiert sind. Die Zertifikatüberprüfung muss nicht mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet werden. Jede Treiberbilddatei muss jedoch über eine digitale Signatur verfügen.