Поддержка корневых сертификатов с возможностью подписи kernel-mode завершается в следующем году
Данное изменение осуществляется в рамках программы Microsoft Trusted Root Program и затрагивает только устройства Windows 10. После применения данных изменений драйверы с истекшим сроком действия больше не будут загружаться, запускаться и устанавливаться на устройствах с Windows 10.
Microsoft опубликовала список дат окончания срока действия доверенных перекрестных сертификатов. Срок действия всех перечисленных доверенных перекрестных сертификатов истечет либо в феврале 2021 г., либо в апреле 2021 г.
Сертификаты коммерческих релизов, сертификаты издателя и сертификаты коммерческого тестирования станут недействительными по истечении срока их действия, а это означает, что драйверы, подписанные этими сертификатами, станут непригодными для использования.
Microsoft сообщает:
… все сертификаты издателя программного обеспечения, сертификаты коммерческих релизов и сертификаты коммерческого тестирования, которые связаны с этими корневыми сертификатами, также становятся недействительными по тому же графику.
Еще в начале 2019 года Microsoft проинформировала разработчиков оборудования об изменениях в своей программе Trusted Root Program. Большинство драйверов должны продолжать работать, как и раньше, но вполне возможно, что старые драйверы, которые не обновлялись годами, могут перестать работать.
Инструмент командной строки SignTool.exe, поставляемый с Visual Studio, позволяет проверить, будет ли драйвер продолжать работать после применения изменений.
Для этого нужно запустить команду verify /v /kp <mydriver.sys>
(<mydriver.sys> следует заменить на название драйвера) и проверить, заканчивается ли параметр Cross Certificate Chain на Microsoft Code Verification Root. Если это так, то сертификат подписи затронут данными изменениями
У пользователей Windows, которых коснется данное изменение, есть несколько вариантов решения проблемы. Например, если обновление драйвера недоступно, можно отключить принудительную подпись драйверов. Стоит понимать, что данная мера снижает безопасность системы, а также может повлиять на стабильность. Перед внесением изменений рекомендуется создать резервную копию системы.
Один из самых простых способов отключить принудительное использование подписи драйверов - запустить в командной строке с правами администратора следующую команду:
bcdedit.exe /set nointegritychecks on
Чтобы восстановить первоначальное поведение, запустите команду:
bcdedit.exe /set nointegritychecks off
Последние статьи #Windows
• Обновление KB5033453 (Build 22635.2850) для Windows 11, версия 23H2 (Beta)
• «Блокнот» в Windows 11 получил счетчик символов
• Список всех сборок Windows 11
• Windows 11 Build 23601 (Dev): Что нового, готовые ISO-образы
• Windows 11 Build 26010 (Canary): Что нового, готовые ISO-образы
• В Windows тестируется режим «Экономия энергии» для ноутбуков и настольных ПК