Поддержка корневых сертификатов с возможностью подписи kernel-mode завершается в следующем году
Данное изменение осуществляется в рамках программы Microsoft Trusted Root Program и затрагивает только устройства Windows 10. После применения данных изменений драйверы с истекшим сроком действия больше не будут загружаться, запускаться и устанавливаться на устройствах с Windows 10.
Microsoft опубликовала список дат окончания срока действия доверенных перекрестных сертификатов. Срок действия всех перечисленных доверенных перекрестных сертификатов истечет либо в феврале 2021 г., либо в апреле 2021 г.
Сертификаты коммерческих релизов, сертификаты издателя и сертификаты коммерческого тестирования станут недействительными по истечении срока их действия, а это означает, что драйверы, подписанные этими сертификатами, станут непригодными для использования.
Microsoft сообщает:
… все сертификаты издателя программного обеспечения, сертификаты коммерческих релизов и сертификаты коммерческого тестирования, которые связаны с этими корневыми сертификатами, также становятся недействительными по тому же графику.
Еще в начале 2019 года Microsoft проинформировала разработчиков оборудования об изменениях в своей программе Trusted Root Program. Большинство драйверов должны продолжать работать, как и раньше, но вполне возможно, что старые драйверы, которые не обновлялись годами, могут перестать работать.
Инструмент командной строки SignTool.exe, поставляемый с Visual Studio, позволяет проверить, будет ли драйвер продолжать работать после применения изменений.
Для этого нужно запустить команду verify /v /kp <mydriver.sys> (<mydriver.sys> следует заменить на название драйвера) и проверить, заканчивается ли параметр Cross Certificate Chain на Microsoft Code Verification Root. Если это так, то сертификат подписи затронут данными изменениями
У пользователей Windows, которых коснется данное изменение, есть несколько вариантов решения проблемы. Например, если обновление драйвера недоступно, можно отключить принудительную подпись драйверов. Стоит понимать, что данная мера снижает безопасность системы, а также может повлиять на стабильность. Перед внесением изменений рекомендуется создать резервную копию системы.
Один из самых простых способов отключить принудительное использование подписи драйверов - запустить в командной строке с правами администратора следующую команду:
bcdedit.exe /set nointegritychecks on
Чтобы восстановить первоначальное поведение, запустите команду:
bcdedit.exe /set nointegritychecks off
Последние статьи #Windows
• PowerToys доступен в Microsoft Store для Windows 11
• В Microsoft Store для Windows 11 появилось приложение Amazon Appstore для установки Android-приложений
• Microsoft Office 2021 выйдет вместе с Windows 11 – 5 октября 2021 года
• Для работы виртуальных машин Windows 11 теперь требуется поддержка TPM 2.0 и безопасной загрузки
• Доступен Windows 11 Build 22000.194 с обновлением KB5005635
• Как скачать ISO-образ Windows 11 с помощью UUP dump