मैं Windows 10 संस्करण 1607 में सुरक्षित बूट सक्षम के साथ क्रॉस-हस्ताक्षरित कर्नेल ड्राइवरों को कैसे अनुमति दूं?


13

विंडोज 10 संस्करण 1607 (उर्फ एनिवर्सरी अपडेट) अब कड़े हुए कर्नेल ड्राइवर प्रमाणन को लागू कर रहा है जो पहले से ही विंडोज 10 के लिए आवश्यकता के रूप में 2015 की घोषणा की गई थी। नया नियम यह है कि सभी विंडोज 10 ड्राइवरों को डिजिटल रूप से Microsoft द्वारा हस्ताक्षरित किया जाना चाहिए, कोई और अधिक क्रॉस हस्ताक्षर नहीं! कर्नेल ड्राइवर डेवलपर्स को अब विस्तारित सत्यापन (ईवी) कोड हस्ताक्षर प्रमाण पत्र का उपयोग करना होगा और अपने ड्राइवरों को विंडोज हार्डवेयर डेवलपर सेंटर डैशबोर्ड पोर्टल पर जमा करना होगा जहां कुछ परीक्षणों को पारित करने के बाद ड्राइवर Microsoft द्वारा हस्ताक्षरित होंगे।

हालाँकि, उस नियम के अपवाद हैं। क्रॉस-हस्ताक्षरित कर्नेल ड्राइवर अभी भी विंडोज 10 संस्करण 1607 द्वारा स्वीकार किए जाते हैं यदि निम्न में से कोई भी सत्य है:

  • ड्राइवर को एक प्रमाण पत्र के साथ हस्ताक्षरित किया जाता है जो 29 जुलाई 2015 से पहले जारी किया गया था
  • ड्राइवर एक बूट अप ड्राइवर है
  • सुरक्षित बूट बंद है
  • विंडोज 10 संस्करण 1607 सिस्टम अपग्रेड किया गया था और सीधे इंस्टॉल नहीं किया गया था
  • एक गुप्त रजिस्ट्री कुंजी सेट की गई है जो क्रॉस-हस्ताक्षरित ड्राइवरों को सुरक्षित बूट सक्षम के साथ सिस्टम पर भी लोड करने की अनुमति देती है

मेरी कंपनी में हमारे पास यह समस्या है कि कई ड्राइवर अब सिस्टम पर अक्षम हैं जो एक साफ विंडोज 10 संस्करण 1607 इंस्टॉलेशन प्राप्त करते हैं, और यहां तक ​​कि कुछ इंटेल ड्राइवर भी प्रभावित होते हैं। इसके अलावा, अत्यधिक सुरक्षित KVM वर्चुअल मशीनें जो सुरक्षित बूट सक्षम के साथ TianoCore UEFI BIOS का उपयोग करती हैं, अब डिजिटल हस्ताक्षर त्रुटियों के कारण Virtio नेटवर्क और गुब्बारा ड्राइवरों को लोड नहीं करती हैं।

और मैं इस बात की पुष्टि कर सकता हूं कि ड्राइवर सुरक्षित बूट अक्षम के साथ सिस्टम पर और विंडोज 10 सिस्टम पर ठीक काम करते हैं, जो सुरक्षित बूट सक्षम होने के साथ, संस्करण 1607 में उन्नत (इन-प्लेस) थे।

अब मैं सोच रहा हूँ कि उस गुप्त रजिस्ट्री का नाम और मूल्य क्या है जो Microsoft द्वारा निम्नलिखित वीडियो में ०० घंटे ११ मीटर ०० बजे घोषित किया गया था :

चैनल 9 - प्लगफेस्ट 28 - ड्राइवर-प्रमाणन-ऑन-विंडोज-क्लाइंट-एंड-सर्वर

... और फिर अंत में हम वास्तव में एक रजिस्ट्री कुंजी के लिए जा रहे हैं ... और यह रजिस्ट्री कुंजी है ... आप जानते हैं ... सिर्फ परीक्षण के लिए इरादा है इसलिए हम निश्चित रूप से आपको नहीं चाहते हैं ... इस रजिस्ट्री की स्थापना कुंजी के रूप में आप ड्राइवर स्थापित करें और ... रजिस्ट्री कुंजी अनिवार्य रूप से उसी व्यवहार की नकल करती है जैसे कि आपके पास एक उन्नत प्रणाली है ...

Microsoft द्वारा उस कुंजी की कभी घोषणा नहीं की गई थी और OSR की ntdev सूची में निम्न संदेश के कारण मुझे विश्वास है कि ऐसा कभी नहीं होगा:

मुझे यह कहने से नफरत है, लेकिन जब से आपने पूछा: रजिस्ट्री कुंजी की जानकारी केवल एनडीए के तहत उपलब्ध है । इसका मतलब है कि यह अंततः ऑनलाइन बहुत सारे स्थानों में बदल जाएगा, लेकिन उस समय तक जब तक हम यहां इसकी चर्चा नहीं करेंगे

और यह मुझे मेरे वास्तविक सुपर उपयोगकर्ता प्रश्न पर छोड़ देता है:

वह गुप्त रजिस्ट्री कुंजी क्या है जो विंडोज 10 संस्करण 1607 बताती है कि इसे पिछले संस्करण से अपग्रेड किया गया था?


अगर मैं अनुमान लगाने के लिए खतरा था। वही कुंजी जो हमेशा उपयोग की जाती रही है जब आप विंडोज के पिछले संस्करण से विंडोज के नए संस्करण में अपग्रेड करते हैं।
रामहाउंड

1
@ रामदूत ... जो होगा?
गोलम

कोई भी संकेत जो उस कुंजी का उपयोग कर रहा है? इसका अस्तित्व बताता है कि इसे कुछ विशेष परिस्थितियों में उपयोग के लिए बाहरी पार्टियों को दिया जाता है। यदि यह सच है, तो क्या यह समझ में नहीं आएगा कि Microsoft को उनमें से एक को शामिल करने के लिए कहें?

@Will Microsoft उस कुंजी का उपयोग कर रहा है जिसमें विंडोज 10 सिस्टम पर स्ट्राइकर ड्राइवर साइनिंग पॉलिसी को लागू नहीं किया गया है, जो इन-प्लेस एनिवर्सरी अपडेट का प्रदर्शन कर चुके हैं (वे अपडेट से पहले काम कर रहे सिस्टम को अक्षम नहीं करना चाहते हैं)। दूसरी ओर इस कुंजी के अस्तित्व को एक सुरक्षा जोखिम माना जा सकता है क्योंकि यह सख्त नीति को उलट सकता है जो लोग अंततः जगह लेना चाहते हैं।
गोलम

क्या आपने यह कोशिश की है? [HKEY_CURRENT_USER \ Software \ नीतियाँ \ Microsoft \ Windows NT \ चालक हस्ताक्षर] BehaviorOnFailedVerifyकुंजी मान को " 0" में बदलें ।
हैकलैश

जवाबों:


0

आप TESTSIGNING बूट कॉन्फ़िगरेशन विकल्प आज़मा सकते हैं

Bcdedit.exe -set TESTSIGNING ON

Make sure to disable the Secure Boot and boot to OS to execute bcedit commands, once done you can reboot to OS with secure boot enabled

TESTSIGNING बूट कॉन्फ़िगरेशन विकल्प निर्धारित करता है कि क्या Windows Vista और बाद के संस्करण Windows के किसी भी प्रकार के परीक्षण-हस्ताक्षरित कर्नेल-मोड कोड को लोड करेंगे। यह विकल्प डिफ़ॉल्ट रूप से सेट नहीं किया गया है, जिसका अर्थ है कि परीक्षण-हस्ताक्षरित कर्नेल-मोड ड्राइवर विंडोज विस्टा के 64-बिट संस्करणों और बाद के विंडोज के संस्करणों पर डिफ़ॉल्ट रूप से लोड नहीं होंगे।

नोट जब आप TESTSIGNING बूट कॉन्फ़िगरेशन विकल्प बदलते हैं, तो परिवर्तन को प्रभावी करने के लिए कंप्यूटर को पुनरारंभ करें।


टेस्टसाइनिंग मोड एक विकल्प नहीं है क्योंकि कर्नेल उन ड्राइवरों को लोड करेगा जो किसी भी प्रमाण पत्र द्वारा हस्ताक्षरित हैं और एक विश्वसनीय रूट प्रमाणन प्राधिकरण को चेन करने के लिए सत्यापन की आवश्यकता नहीं है। मूल रूप से सवाल यह है कि ड्राइवर हस्ताक्षर सत्यापन नीति के संबंध में एक नए तरीके से स्थापित प्रणाली एक उन्नत प्रणाली की तरह व्यवहार करती है।
गोलम
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.