Stratégie de signature de pilote
Notes
À compter de Windows 10, version 1607, Windows ne charge aucun nouveau pilote en mode noyau qui ne sont pas signés par le portail de développement. Pour obtenir la signature de votre pilote, commencez par vous inscrire au programme Centre de développement matériel Windows. Notez qu’un certificat de signature de code EV est requis pour établir un compte de tableau de bord.
Il existe de nombreuses façons d’envoyer des pilotes au portail. Pour les pilotes de production, vous devez envoyer les journaux des tests HLK/HCK, comme décrit ci-dessous. Pour les tests sur Windows 10 systèmes clients uniquement, vous pouvez envoyer vos pilotes pour la signature d’attestation, ce qui ne nécessite pas de test HLK. Vous pouvez également envoyer votre pilote pour la signature de test, comme décrit dans la page Créer une soumission de matériel .
Exceptions
Les pilotes signés croisés sont toujours autorisés si l’une des conditions suivantes est vraie :
- Le PC a été mis à niveau à partir d’une version antérieure de Windows vers Windows 10 version 1607.
- Le démarrage sécurisé est désactivé dans le BIOS.
- Les pilotes ont été signés avec un certificat d’entité finale émis avant le 29 juillet 2015 qui est lié à une autorité de certification croisée prise en charge.
Pour éviter que les systèmes ne démarrent correctement, les pilotes de démarrage ne sont pas bloqués, mais ils sont supprimés par l’Assistant Compatibilité des programmes.
Signature d’un pilote pour les versions clientes de Windows
Pour signer un pilote pour Windows 10, procédez comme suit :
- Pour chaque version de Windows 10 sur laquelle vous souhaitez certifier, téléchargez windows HLK (Hardware Lab Kit) pour cette version et exécutez un pass de certificat complet sur le client pour cette version. Vous obtiendrez un journal par version.
- Si vous avez plusieurs journaux, fusionnez-les dans un seul journal à l’aide du HLK le plus récent.
- Envoyez votre pilote et les résultats des tests HLK fusionnés dans le portail du tableau de bord du Centre de développement matériel Windows.
Pour plus d’informations sur les versions, consultez la stratégie WHCP (Programme de compatibilité matérielle Windows) pour les versions de Windows que vous souhaitez cibler.
Pour signer un pilote pour Windows 7, Windows 8 ou Windows 8.1, utilisez le HCK (Hardware Certification Kit) approprié. Pour plus d’informations, consultez le Guide de l’utilisateur du Kit de certification matérielle Windows.
Signature d’un pilote pour des versions antérieures de Windows
Avant Windows 10 version 1607, les types de pilotes suivants nécessitent un certificat Authenticode utilisé avec le certificat croisé de Microsoft pour la signature croisée :
- Pilotes de périphérique en mode noyau
- Pilotes de périphérique en mode utilisateur
- Pilotes qui diffusent en continu du contenu protégé. Cela inclut les pilotes audio qui utilisent puMA (Protected User Mode Audio) et PAP (Protected Audio Path) et les pilotes de périphériques vidéo qui gèrent les commandes de gestion de la protection de sortie de chemin d’accès vidéo protégé (OPC-OPM). Pour plus d’informations, consultez Signature de code pour les composants multimédias protégés.
Conditions requises pour la signature par version
Le tableau suivant présente les stratégies de signature pour les versions du système d’exploitation client.
Notez que le démarrage sécurisé ne s’applique pas à Windows Vista et Windows 7.
| S’applique à : | Windows Vista, Windows 7 ; Windows 8+ avec démarrage sécurisé désactivé | Windows 8, Windows 8.1, Windows 10, versions 1507 et 1511 avec démarrage sécurisé activé | Windows 10, versions 1607, 1703, 1709 avec démarrage sécurisé activé | Windows 10, version 1803+ avec démarrage sécurisé activé |
|---|---|---|---|---|
| Architectures: | 64 bits uniquement, aucune signature requise pour la version 32 bits | 64 bits, 32 bits | 64 bits, 32 bits | 64 bits, 32 bits |
| Signature requise : | Fichier incorporé ou catalogue | Fichier incorporé ou catalogue | Fichier incorporé ou catalogue | Fichier incorporé ou catalogue |
| Algorithme de signature : | SHA2 | SHA2 | SHA2 | SHA2 |
| Certificat: | Racines standard approuvées par l’intégrité du code | Racines standard approuvées par l’intégrité du code | Microsoft Root Authority 2010, Microsoft Root Certificate Authority, Microsoft Root Authority | Microsoft Root Authority 2010, Microsoft Root Certificate Authority, Microsoft Root Authority |
En plus de la signature de code de pilote, vous devez également répondre aux exigences de signature d’installation de périphérique PnP pour l’installation d’un pilote. Pour plus d’informations, consultez Configuration requise pour la signature des appareils Plug-and-Play (PnP).
Pour plus d’informations sur la signature d’un pilote ELAM, consultez Logiciel anti-programme malveillant à lancement anticipé.
Voir aussi
- Installation d’un package de pilotes non signés pendant le développement et le test
- Pilotes de signature pour la mise en production publique
- Pilotes de signature pendant le développement et le test
- Signatures numériques
- Résolution des problèmes d’installation et de chargement des packages de pilotes signés