Поддержка корневых сертификатов с возможностью подписи kernel-mode завершается в следующем году
Данное изменение осуществляется в рамках программы Microsoft Trusted Root Program и затрагивает только устройства Windows 10. После применения данных изменений драйверы с истекшим сроком действия больше не будут загружаться, запускаться и устанавливаться на устройствах с Windows 10.
Microsoft опубликовала список дат окончания срока действия доверенных перекрестных сертификатов. Срок действия всех перечисленных доверенных перекрестных сертификатов истечет либо в феврале 2021 г., либо в апреле 2021 г.
Сертификаты коммерческих релизов, сертификаты издателя и сертификаты коммерческого тестирования станут недействительными по истечении срока их действия, а это означает, что драйверы, подписанные этими сертификатами, станут непригодными для использования.
Microsoft сообщает:
… все сертификаты издателя программного обеспечения, сертификаты коммерческих релизов и сертификаты коммерческого тестирования, которые связаны с этими корневыми сертификатами, также становятся недействительными по тому же графику.
Еще в начале 2019 года Microsoft проинформировала разработчиков оборудования об изменениях в своей программе Trusted Root Program. Большинство драйверов должны продолжать работать, как и раньше, но вполне возможно, что старые драйверы, которые не обновлялись годами, могут перестать работать.
Инструмент командной строки SignTool.exe, поставляемый с Visual Studio, позволяет проверить, будет ли драйвер продолжать работать после применения изменений.
Для этого нужно запустить команду verify /v /kp <mydriver.sys> (<mydriver.sys> следует заменить на название драйвера) и проверить, заканчивается ли параметр Cross Certificate Chain на Microsoft Code Verification Root. Если это так, то сертификат подписи затронут данными изменениями
У пользователей Windows, которых коснется данное изменение, есть несколько вариантов решения проблемы. Например, если обновление драйвера недоступно, можно отключить принудительную подпись драйверов. Стоит понимать, что данная мера снижает безопасность системы, а также может повлиять на стабильность. Перед внесением изменений рекомендуется создать резервную копию системы.
Один из самых простых способов отключить принудительное использование подписи драйверов - запустить в командной строке с правами администратора следующую команду:
bcdedit.exe /set nointegritychecks on
Чтобы восстановить первоначальное поведение, запустите команду:
bcdedit.exe /set nointegritychecks off
Последние статьи #Windows
• Windhawk — мощный инструмент для модификации и тонкой настройки Windows
• Microsoft подтвердила, что обновление Windows 11 вызывает «белые вспышки» при открытии Проводника в тёмной теме
• Обновленный Проводник Windows 11 с предзагрузкой работает медленнее, чем в Windows 10, и потребляет больше памяти
• Обновление KB5070311 для Windows 11 расширяет тёмную тему для «Проводника» – пользователи сообщают о баге с белым фоном при запуске
• Обновление KB5070311 (Build 26200.7309) Preview для Windows 11, версия 25H2
• Обновление KB5070311 (Build 26100.7309) Preview для Windows 11, версия 24H2