Поддержка корневых сертификатов с возможностью подписи kernel-mode завершается в следующем году
Данное изменение осуществляется в рамках программы Microsoft Trusted Root Program и затрагивает только устройства Windows 10. После применения данных изменений драйверы с истекшим сроком действия больше не будут загружаться, запускаться и устанавливаться на устройствах с Windows 10.
Microsoft опубликовала список дат окончания срока действия доверенных перекрестных сертификатов. Срок действия всех перечисленных доверенных перекрестных сертификатов истечет либо в феврале 2021 г., либо в апреле 2021 г.
Сертификаты коммерческих релизов, сертификаты издателя и сертификаты коммерческого тестирования станут недействительными по истечении срока их действия, а это означает, что драйверы, подписанные этими сертификатами, станут непригодными для использования.
Microsoft сообщает:
… все сертификаты издателя программного обеспечения, сертификаты коммерческих релизов и сертификаты коммерческого тестирования, которые связаны с этими корневыми сертификатами, также становятся недействительными по тому же графику.
Еще в начале 2019 года Microsoft проинформировала разработчиков оборудования об изменениях в своей программе Trusted Root Program. Большинство драйверов должны продолжать работать, как и раньше, но вполне возможно, что старые драйверы, которые не обновлялись годами, могут перестать работать.
Инструмент командной строки SignTool.exe, поставляемый с Visual Studio, позволяет проверить, будет ли драйвер продолжать работать после применения изменений.
Для этого нужно запустить команду verify /v /kp <mydriver.sys> (<mydriver.sys> следует заменить на название драйвера) и проверить, заканчивается ли параметр Cross Certificate Chain на Microsoft Code Verification Root. Если это так, то сертификат подписи затронут данными изменениями
У пользователей Windows, которых коснется данное изменение, есть несколько вариантов решения проблемы. Например, если обновление драйвера недоступно, можно отключить принудительную подпись драйверов. Стоит понимать, что данная мера снижает безопасность системы, а также может повлиять на стабильность. Перед внесением изменений рекомендуется создать резервную копию системы.
Один из самых простых способов отключить принудительное использование подписи драйверов - запустить в командной строке с правами администратора следующую команду:
bcdedit.exe /set nointegritychecks on
Чтобы восстановить первоначальное поведение, запустите команду:
bcdedit.exe /set nointegritychecks off
Последние статьи #Windows
• Microsoft переносит еще больше элементов Панели управления в приложение «Параметры» в Windows 11
• Microsoft сняла блокировку установки Windows 11, версия 24H2 для устройств с Dirac Audio
• AMD опубликовала руководство по решению проблем с драйверами чипсета и графики в Windows 10 и Windows 11
• Обновление KB5065789 (Build 26100.6713) Preview для Windows 11, версия 24H2
• Обновление KB5065789 (Build 26200.6713) Preview для Windows 11, версия 25H2
• Обновление KB5065782 (Build 26120.6682) для Windows 11, версия 24H2 (Beta)