微軟將刪除對(duì)以內(nèi)核模式運(yùn)行的代碼簽名根證書(shū)的支持。過(guò)期的驅(qū)動(dòng)程序?qū)⒉辉僭赪indows 10電腦上加載、運(yùn)行和安裝。

支持具有內(nèi)核模式簽名功能的根證書(shū)將于明年到期

此更改是微軟受信任的根程序的一部分，僅影響Windows 10電腦。一旦應(yīng)用了這些更改，過(guò)期的驅(qū)動(dòng)程序?qū)⒉辉僭赪indows 10設(shè)備上加載、運(yùn)行和安裝。

微軟已發(fā)布了受信任的跨證書(shū)過(guò)期日期列表，所有列出的受信任的交叉證書(shū)將在2021年2月或2021年4月到期。

商業(yè)發(fā)行證書(shū)、發(fā)布者證書(shū)和商業(yè)測(cè)試證書(shū)將過(guò)期，這意味著由這些證書(shū)簽名的驅(qū)動(dòng)程序?qū)⒆兊貌豢捎谩?/p>

早在2019年初，微軟便通知硬件開(kāi)發(fā)人員有關(guān)其受信任的根程序的更改。大多數(shù)驅(qū)動(dòng)程序仍會(huì)繼續(xù)像以前那樣工作，但是多年未更新的舊驅(qū)動(dòng)程序有可能會(huì)停止工作。

Visual Studio附帶的SignTool.exe命令行工具使你可以檢查應(yīng)用更改后驅(qū)動(dòng)程序是否將繼續(xù)運(yùn)行。

為此，你需要運(yùn)行命令(< mydriver.sys >應(yīng)替換為驅(qū)動(dòng)程序的名稱)，并檢查“交叉證書(shū)鏈”參數(shù)是否以微軟代碼驗(yàn)證根結(jié)尾。如果是這樣，則簽名證書(shū)會(huì)受到這些更改的影響。

verify /v /kp <mydriver.sys> 

受此更改影響的Windows用戶有幾個(gè)選項(xiàng)可以解決此問(wèn)題。例如，如果驅(qū)動(dòng)程序更新不可用，那么可以關(guān)閉驅(qū)動(dòng)程序簽名強(qiáng)制。應(yīng)當(dāng)理解，該措施降低了系統(tǒng)的安全性，并且還可能影響穩(wěn)定性。建議你在進(jìn)行任何更改之前先創(chuàng)建系統(tǒng)備份。

禁用驅(qū)動(dòng)程序簽名強(qiáng)制執(zhí)行的最簡(jiǎn)單方法之一是在管理員提示符下運(yùn)行以下命令：

bcdedit.exe /set nointegritychecks on 

要恢復(fù)原始行為，請(qǐng)運(yùn)行以下命令：

bcdedit.exe /set nointegritychecks off