Treiberzertifikate und -signaturen unter Windows: Ein vollständiger Leitfaden

Unter Windows wird der Controller und ihre digitalen Signaturen Sie sind zu einem Schlüsselelement der Systemsicherheit geworden. Neben der bloßen Funktionsfähigkeit von Druckern, Grafikkarten oder Smartcards ist heute vor allem wichtig, dass das System überprüfen kann, ob die Software echt und integer ist und von einem vertrauenswürdigen Anbieter stammt.

Falls Sie jemals auf Nachrichten wie diese gestoßen sind „Windows kann den Herausgeber dieser Treibersoftware nicht überprüfen.“ Oder Fehler im Zusammenhang mit Zertifikaten bei der Treiberinstallation – Sie wissen, wie frustrierend das sein kann. In diesem Artikel erklären wir Ihnen Schritt für Schritt, wie die Treibersignatur unter Windows funktioniert (sowohl im Kernel- als auch im Benutzermodus), welche Anforderungen je nach Windows-Version variieren, wie Sie Ihre eigenen Treiber signieren und welche Möglichkeiten Sie haben, die Signaturprüfung sicher zu deaktivieren, wenn es keine andere Möglichkeit gibt.

Was ist die Treibersignatur in Windows und warum ist sie so wichtig?

Der Aufruf Unterschrift des Fahrers Dabei wird einfach eine digitale Signatur (basierend auf Zertifikaten) mit einem Treiberpaket verknüpft. Diese Signatur wird üblicherweise auf die Katalogdatei des Pakets (.CAT) oder direkt auf die Treiberbinärdateien (.SYS, .DLL usw.) mithilfe eingebetteter Signaturverfahren angewendet.

Während der Geräteinstallation verwendet Windows diese Digitale Signaturen für zwei wichtige DingeDas System prüft, ob das Paket seit der Signierung verändert wurde (Integrität) und bestätigt die Identität des Softwareanbieters (Treiberherstellers). Bei Unregelmäßigkeiten wird eine Warnung angezeigt oder, in strengeren Fällen, die Installation bzw. das Laden des Treibers blockiert.

In den 64-Bit-Versionen von Windows Vista und späteren Versionen führte Microsoft eine ziemlich klare Richtlinie ein: Alle Kernelmodustreiber müssen signiert sein. Treiber müssen, bis auf wenige Ausnahmen, geladen werden können. Dadurch fallen sie in dieselbe Sicherheitskategorie wie die übrigen Systemdateien, da ein Fehler auf Kernel-Ebene das System vollständig gefährden kann.

Die Regeln sind immer strenger geworden mit die zeitAb Windows 10 Version 1507 müssen alle Treiber über die Website signiert werden. Entwicklungszentrum von Hardware Microsoft Die Signierung mit SHA-2 ist obligatorisch. Das alte SHA-1 ist aus Gründen der kryptografischen Sicherheit überholt, und Microsoft hat es schrittweise aus dem gesamten Ökosystem entfernt.

Ein wichtiger Punkt ist zu beachten: Kernelmodus-Treiberbinärdateien, die mit dualen Zertifikaten (SHA-1 + SHA-2) signiert sind, welche von Nicht-Microsoft-Organisationen ausgestellt wurden, können Probleme verursachen. Systeme vor Windows 10…oder sogar Abstürze unter Windows 10 und späteren Versionen verursachen. Um dies zu verhindern, veröffentlichte Microsoft das Update KB3081436, das die korrekten Dateihashes enthält und das Ladeverhalten in diesen Fällen behebt.

Übersicht zur Treibersignierung in Windows

Um vollständig zu verstehen, wie das alles funktioniert, ist es hilfreich, die Konzepte zu trennen. Auf der einen Seite gibt es die Treiber-Code-Signatur (Kernel- oder Benutzermodus) und andererseits die Signaturanforderungen für die Installation von Plug-and-Play-Geräten (PnP). Obwohl sie eng miteinander verbunden sind, sind sie nicht identisch: Ein Treiber kann zwar auf Binärebene korrekt signiert sein, erfüllt aber möglicherweise nicht alle zusätzlichen Installationsanforderungen.

Microsoft verfügt über spezifische Dokumentationen dazu. Digitale Signaturen für Kernelmodule in Windows Vista und späteren SystemenDieses Dokument beschreibt detailliert, welche Zertifikate gültig sind, wie Vertrauensketten aufgebaut werden und welche Hash-Algorithmen unterstützt werden (derzeit SHA-2). Für Treiber, die geschützte Inhalte übertragen (Audio und Video mit DRM, PUMA, PAP, PVP-OPM usw.), gelten zudem spezielle Anforderungen an die Codesignatur, die auf den Schutz von Multimedia-Inhalten ausgerichtet sind.

Was den Veröffentlichungsprozess betrifft, so gibt es heute mehrere Möglichkeiten. Treiber beim Microsoft-Hardwareportal einreichenFür Produktionstreiber ist es üblich, Tests mit HLK oder dem älteren HCK durchzuführen und sowohl die Binärdatei als auch die Testprotokolle hochzuladen. In reinen Client-Szenarien unter Windows 10 kann die Attestierungssignatur verwendet werden. Dadurch reduziert sich der Bedarf an automatisierten Tests, während die Validierung und Signierung durch Microsoft erhalten bleibt.

Die Option von Testsignatur Diese Treiber sind für die interne Entwicklung und das Testen konzipiert und verwenden nicht-öffentliche Zertifikate oder Zertifikate, die von einer privaten PKI ausgestellt wurden. Sie werden nur geladen, wenn das System im Testmodus konfiguriert ist oder spezifische Richtlinien die Verwendung von Testtreibern zulassen.

Ausnahmen und vorzeichengekreuzte Controller

In Zwischenversionen von Windows 10, den sogenannten „Controller mit Kreuzsignatur“ Unter bestimmten Bedingungen sind auch Treiber mit Cross-Signatur zulässig. Dabei handelt es sich um Treiber, die vom Hersteller mit einem Authenticode-Zertifikat signiert wurden, das mit einem von Microsoft signierten Zwischenzertifikat verknüpft ist, wodurch der vollständige Workflow des Hardwareportals umgangen wird.

Microsoft sieht mehrere Ausnahmen vor, um zu verhindern, dass bereits installierte Systeme nicht starten. Mehrfach signierte Treiber sind in folgenden Situationen zulässig: Der Computer wurde von einer früheren Windows-Version auf Windows 10 Version 1607 aktualisiert., Starten Secure Boot ist im BIOS/UEFI deaktiviert; oder der Treiber ist mit einem Zertifikat signiert, das vor dem 29. Juli 2015 ausgestellt wurde und auf eine unterstützte, übergreifend signierte Zertifizierungsstelle verweist.

Um das Risiko zu verringern, dass das System unbrauchbar wird, Boot-Controller Sie werden nicht blockiert, selbst wenn sie den neuen Richtlinien nicht entsprechen. Der Programmkompatibilitätsassistent kann sie jedoch kennzeichnen und deren Entfernung oder Ersetzung vorschlagen. Ziel ist es, den Startvorgang nicht zu unterbrechen, sondern nicht konforme Treiber schrittweise zu entfernen.

Anforderungen an die Windows-Versionssignatur

Die Anforderungen an die Unterschrift variieren je nach … spezifische Version des Betriebssystems und ob das System Secure Boot verwendet. Im Allgemeinen lässt sich die Tabelle der Signaturrichtlinien für Client-Editionen wie folgt zusammenfassen:

• Windows Vista und Windows 7und auch Windows 8+ mit deaktiviertem Secure BootBei 64-Bit-Zertifikaten ist eine Signatur erforderlich, bei 32-Bit-Zertifikaten war dies nicht der Fall. Die Signatur kann in die Datei oder einen zugehörigen Katalog eingebettet sein; der erforderliche Algorithmus ist SHA-2. Die Zertifikatskette muss aus Gründen der Codeintegrität an standardmäßigen, vertrauenswürdigen Stammzertifikaten enden.
• Windows 8 und 8.1 sowie Windows 10 Versionen 1507 und 1511 mit aktiviertem Secure Boot.Sowohl 32-Bit- als auch 64-Bit-Treiber benötigen signierte Treiber. Die Signierung eingebetteter Systeme oder Katalogsignaturen ist weiterhin zulässig; hierbei wird SHA-2 verwendet, wobei auf Standardwurzeln für die Codeintegrität vertraut wird.
• Windows 10 Versionen 1607, 1703 und 1709 mit Secure BootDie Anforderungen werden verschärft, und Signaturen müssen an bestimmte Microsoft-Stammzertifikate gebunden sein (Microsoft). Wurzel Authority 2010, Microsoft Root Certificate Authority und Microsoft Root Authority).
• Windows 10 Version 1803 und höher mit Secure Boot: Die gleichen Signaturanforderungen, die auf den zuvor genannten Microsoft-Stammzertifizierungsstellen basieren, werden sowohl für 32-Bit- als auch für 64-Bit-Systeme beibehalten.

Neben der Treibercode-Signatur muss das Paket auch folgende Anforderungen erfüllen: die Unterschriftsanforderungen für die Installation von PnP-GerätenDies bedeutet, dass die .INF-Dateien, Kataloge und Binärdateien korrekt verknüpft sein und in der Signatur des Geräteinstallationsprogramms (und des Geräte-Manager) halten sie für gültig.

Es gibt auch spezielle Fahrertypen wie zum Beispiel ELAM (Early Launch Anti-Malware)die sehr früh im Bootvorgang geladen werden, um das System zu schützen vor Malware Low-Level. Diese Treiber haben zusätzliche Signierungs- und Zertifizierungsanforderungen, die im Leitfaden zur Malware-Bekämpfung beim frühen Systemstart dokumentiert sind.

Signieren eines Treibers für Windows 10, Windows 8.x und Windows 7

Wenn Sie Treiberentwickler sind oder in einer Umgebung arbeiten, in der benutzerdefinierte Treiber verteilt werden, müssen Sie die folgenden Richtlinien einhalten: Windows-Hardwarekompatibilitätsprogramm (WHCP) unter Verwendung der jeweils passenden Tools: HLK für Windows 10 und HCK für frühere Versionen.

Im Falle von Windows 10 wäre der typische Ablauf: herunterladen Hardware Lab Kit (HLK) Installieren Sie für jede Windows-10-Version, die Sie unterstützen möchten, die Testumgebung und führen Sie einen vollständigen Zertifizierungsdurchlauf auf einem Client mit dieser Version durch. Bei jedem Durchlauf wird ein Testprotokoll erstellt.

Wenn Sie den Treiber in mehreren Versionen getestet haben, erhalten Sie mehrere Protokolldateien. Das ist normal. alle kombinieren Protokolle in einem einzigen Bericht unter Verwendung der neuesten HLK-Version. Diese Kombination vereinfacht die Einreichung beim Hardwareportal und ermöglicht es einem einzelnen Unternehmen, mehrere Systemversionen abzudecken.

Sobald Sie die Register haben, senden Sie die Controller-Binärdatei und die kombinierten HLK-Ergebnisse an Windows Hardware Developers Center-PanelDort wählen Sie die gewünschte Signaturart (z. B. Produktionssignatur, Beglaubigung usw.), konfigurieren die Eigenschaften der Sendung und warten, bis der automatische Microsoft-Prozess die signierten Kataloge generiert und Ihnen das bereits zertifizierte Paket zurücksendet.

Ein ähnlicher Ansatz wird für Windows 7, Windows 8 und Windows 8.1 verfolgt, jedoch unter Verwendung von Hardware-Zertifizierungskit (HCK) Für jede Version geeignet. Microsoft stellt für dieses Kit ein Benutzerhandbuch bereit, das den Test-, Validierungs- und Bereitstellungsablauf erläutert.

Treibersignierung für Versionen vor Windows 10 Version 1607

Vor der Veröffentlichung von Windows 10 Version 1607 benötigten viele Treibertypen einen Echtheitszertifikat kombiniert mit einer Microsoft-übergreifenden Zertifizierung. Diese Technik, bekannt als Cross-Signing, ermöglichte es Herstellern, ihre Treiber zu signieren und sie von Windows so akzeptieren zu lassen, als wären sie von der Microsoft-Infrastruktur „abgesegnet“.

Zu den Controllern, die dieses Signaturmodell erforderten, gehörten die Kernelmodus-GerätetreiberDazu gehören Benutzermodustreiber, die eng mit dem Kernel interagieren, sowie Treiber zur Wiedergabe oder Verarbeitung geschützter Inhalte (DRM-geschützte Audio- und Videodateien). Letztere umfassen PUMA- oder PAP-basierte Audiotreiber sowie Videotreiber, die den Ausgabeschutz (PVP-OPM) verwalten.

Für die Codesignierung geschützter Multimedia-Komponenten gelten eigene Richtlinien, da die Vertrauenskette und die Zertifikatserweiterungen sicherstellen müssen, dass geschützte Inhalte nicht leicht abgefangen oder manipuliert werden können.

Praktische Anwendung von SignTool zum Signieren von Treibern im Kernelmodus (Windows 7 und 8)

In der Praxis ist das führende Tool zum Signieren von Binärdateien unter Windows: SignTool, im Windows SDK enthalten. Für Kernelmodustreiber in Windows 7 und 8 gibt es eine Reihe von Optionen, die insbesondere beim Signieren und Verifizieren nützlich sind.

Zu den wichtigsten Parametern von SignTool gehören: /ac zum Hinzufügen eines zusätzlichen Zertifikats (z. B. des Microsoft-Kreuzzertifikats)/f, um die Datei anzugeben, die das Signaturzertifikat enthält (z. B. eine .pfx-Datei), /p für das Passwort dieser PFX-Datei, /fd, um den Hash-Algorithmus anzugeben (z. B. /fd sha256, um SHA-256 zu erzwingen, da SHA-1 der historische Standard ist).

Der Parameter ist ebenfalls grundlegend. /n «Gebräuchlicher Name des Zertifikats»Dies ermöglicht die Auswahl des richtigen Zertifikats aus dem Windows-Zertifikatspeicher anhand seines allgemeinen Namens. Um Zeitstempel hinzuzufügen, können Sie /t mit einem klassischen Authenticode-Server oder /tr mit einem RFC-3161-konformen Server verwenden. Letzteres ist die modernste und empfohlene Option.

Ein möglicher Arbeitsablauf wäre, die Treiberdateien in einem Arbeitsverzeichnis zu sammeln oder sogar alles in den Bin-Ordner des Windows SDK zu kopieren. Anschließend wird das Codesignaturzertifikat bezogen und, falls erforderlich, die Microsoft-übergreifende Zertifizierung (Zum Beispiel das CrossCert-Zertifikat der Zertifizierungsstelle, die Ihr Zertifikat ausgestellt hat). Beide befinden sich im selben Verzeichnis, aus dem Sie SignTool ausführen.

Wenn alles vorbereitet ist, könnte der Beispielbefehl etwa so aussehen: signtool sign /ac CrossCert.crt /f CodeSign.pfx /p password1234 /fd sha256 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sysDadurch wird eine moderne Signatur mit SHA-256 erzeugt, die die Kreuzzertifizierung beinhaltet und einen RFC 3161-Zeitstempel hinzufügt, der unerlässlich ist, damit die Signatur auch nach Ablauf des Zertifikats gültig bleibt.

Nach der Unterzeichnung wird empfohlen, die Echtheit mit einem Befehl wie diesem zu überprüfen: signtool verify -v -kp filter.sysDer Parameter `-v` liefert detaillierte Informationen, während `-kp` die Signatur anhand der Kriterien für Kernelmodustreiber prüft. Wenn die Ausgabe anzeigt, dass die Signatur gültig ist und die Vertrauenskette in einer akzeptierten Stammzertifizierungsstelle endet, ist der Treiber bereit für den Einsatz.

Es ist wichtig zu beachten, dass in vielen Fällen auch die Katalogdatei (.CAT) signiert ist. Der Vorgang wird wiederholt: Die .CAT-Datei wird signiert, verifiziert, und sobald alles in Ordnung ist, wird der Treiber normal auf dem System installiert.

Unterschrift für die Beglaubigung und Erstellung von CAB-Paketen

Microsoft bietet die Unterschrift als Beglaubigung Dies ist eine relativ ressourcenschonende Methode zur Treiberverteilung, insbesondere auf Windows 10-Clientsystemen. Der Anbieter ist dafür verantwortlich, dass der Treiber die Anforderungen erfüllt, während Microsoft sich auf die Validierung und Signierung beschränkt und in manchen Fällen die vollständigen HLK-Tests umgeht.

Um einen Controller per Attestierung zu senden, CAB-Datei Diese Datei gruppiert die wesentlichen Komponenten des Pakets. Eine typische CAB-Datei enthält den Binärtreiber selbst (.SYS), die INF-Datei (.INF), die Windows während der Installation verwendet, die Debug-Symbole (.PDB) zur Fehleranalyse und manchmal .CAT-Kataloge, die Microsoft als Referenz zur Überprüfung der Struktur verwendet (obwohl Microsoft für die endgültige Verteilung eigene Kataloge generiert).

Die Erstellung ist einfach: Alle zu signierenden Dateien werden in einem einzigen Verzeichnis gesammelt, beispielsweise C:\Echo. Aus einem Fenster von Befehle Mit Administratorrechten wird die MakeCab-Hilfe konsultiert, um deren Optionen anzuzeigen, und eine DDF-Datei wird mit den notwendigen Anweisungen erstellt, die angeben, welche Dateien komprimiert werden sollen, welches Cabinet generiert wird und in welchen Unterordnern sie innerhalb des CAB organisiert werden sollen.

Im Beispiel des Echo-Controllers könnte die DDF-Datei den Ausgabenamen auf Echo.cab setzen, die MSZIP-Komprimierung aktivieren und ein Zielverzeichnis (DestinationDir=Echo) definieren, sodass sich keine einzelnen Dateien im Stammverzeichnis der CAB-Datei befinden. Anschließend werden die vollständigen Pfade zu Echo.inf und Echo.sys angegeben, damit MakeCab diese einbindet.

Sobald die DDF-Datei bereit ist, führen Sie etwa Folgendes aus: MakeCab /f Echo.ddfDas Tool zeigt die Anzahl der einbezogenen Dateien, den erreichten Komprimierungsgrad und den Ordner (üblicherweise Disk1) an, in dem die resultierende CAB-Datei gespeichert wurde. Öffnen Sie einfach die Datei „Echo.cab“ mit dem Datei-Explorer, um zu überprüfen, ob sie alle erwarteten Daten enthält.

Unterzeichnen Sie das CAB mit einem EV-Zertifikat und senden Sie es an das Partners Center.

Vor dem Hochladen des Pakets auf das Microsoft-Hardwareportal ist es normal, Unterzeichnen Sie das CAB mit einem EV-Zertifikat (Extended Validation).Diese Zertifikate, die strengere Anforderungen an die Validierung der Entität stellen, schaffen zusätzliches Vertrauen und sind oft Voraussetzung für bestimmte Arten von Signaturen.

Der Prozess variiert geringfügig je nach Anbieter des EV-Zertifikats, aber im Allgemeinen wird erneut SignTool verwendet, diesmal mit dem Ziel der CAB. Ein typischer Befehl könnte lauten: SignTool sign /s MY /n “Firmenname” /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /td sha256 /v C:\Echo\Disk1\Echo.cab, wodurch dem Cockpit eine SHA-256-Signatur mit SHA-256-Zeitstempel hinzugefügt wird.

Nach der Anmeldung erhalten Sie Zugriff auf Microsoft Partner CenterGehen Sie zum Hardware-Bereich und melden Sie sich mit den Zugangsdaten Ihrer Organisation an. Wählen Sie dort die Option „Neue Hardware einreichen“, laden Sie die signierte CAB-Datei hoch und geben Sie die erforderlichen Informationen ein: Produktname, benötigte Signaturart, ob eine Testsignatur oder nur eine Produktionssignatur gewünscht ist usw.

Es ist wichtig, Aktivieren Sie die Testsignaturoptionen nicht. Wenn Sie einen Produktionstreiber suchen, wählen Sie im Abschnitt "Erforderliche Signaturen" die Varianten aus, die Sie in das Paket aufnehmen möchten (z. B. Signaturen für verschiedene Windows-Versionen oder Architekturen).

Sobald das Formular ausgefüllt ist, klicken Sie auf „Absenden“ und lassen Sie das Portal das Paket verarbeiten. Wenn Microsoft die Signierung des Treibers abgeschlossen hat, zeigt das Fenster an, dass die Übermittlung verarbeitet wurde, und erlaubt die weitere Bearbeitung. Laden Sie den bereits signierten Treiber herunter., in der Regel begleitet von den für den Vertrieb notwendigen Katalogen und Metadaten.

Überprüfen Sie, ob der Controller korrekt signiert ist.

Nachdem das Paket heruntergeladen wurde, sollte überprüft werden, ob alles in Ordnung ist. Der erste Schritt besteht darin, die Dateien aus dem Paket in einen temporären Ordner zu extrahieren und ein Eingabeaufforderungsfenster zu öffnen. AdministratorrechteVon dort aus können Sie mit SignTool die auf die Schlüsselbinärdateien angewendeten Signaturen überprüfen.

Ein einfacher Befehl wäre SignTool überprüft Echo.sysDadurch wird die Gültigkeit der Unterschrift schnell überprüft. Für eine gründlichere Überprüfung können Sie Folgendes verwenden: SignTool verify /pa /ph /v /d Echo.sysDabei gibt /pa an, dass die Authenticode-Richtlinie verwendet werden soll, /ph fügt eine Hash-Prüfung hinzu und /v erzeugt eine ausführliche Ausgabe mit allen Informationen zur Zertifikatskette.

Um die erweiterten Schlüsselverwendungen (EKUs) des zum Signieren verwendeten Zertifikats zu überprüfen, können Sie den Windows Explorer verwenden: Klicken Sie mit der rechten Maustaste auf die Binärdatei, wählen Sie „Eigenschaften“, wechseln Sie zur Registerkarte „Digitale Signaturen“, wählen Sie den entsprechenden Eintrag aus und klicken Sie auf „Details“. Unter „Zertifikat anzeigen“ und der Registerkarte „Details“ können Sie das Feld „Erweiterte Schlüsselverwendungen“ überprüfen, um sicherzustellen, dass es die entsprechenden Erweiterungen für die Codesignierung oder Treibersignierung enthält.

Der interne Prozess einiger Signatur-Workflows impliziert, dass Microsoft Fügen Sie Ihre eigene SHA-2-Signatur erneut ein. In der Binärdatei werden alle vom Client angewendeten Signaturen entfernt, falls sie nicht den geltenden Richtlinien entsprechen. Außerdem wird eine neue, von Microsoft signierte Katalogdatei generiert, die alle zuvor vom Anbieter gesendeten .CAT-Dateien ersetzt.

Testen und Installieren des Treibers unter Windows

Nach der Signierung des Treibers muss noch überprüft werden, ob er sich auf dem Zielsystem korrekt installieren lässt und funktioniert. Hierfür können über eine Administratorkonsole Tools wie [hier Toolnamen einfügen] verwendet werden. devcon Um die Installation zu automatisieren. Wenn das Paket beispielsweise eine echo.inf-Datei enthält, die ein root\ECHO-Gerät definiert, genügt es, Folgendes auszuführen: devcon install echo.inf root\ECHO im entsprechenden Ordner.

Wenn während dieses Prozesses alles ordnungsgemäß unterzeichnet wird, Es sollten keine Anzeigen erscheinen Es können Meldungen wie „Windows kann den Herausgeber dieser Treibersoftware nicht verifizieren“ erscheinen. In diesem Fall deutet dies darauf hin, dass etwas in der Vertrauenskette oder in den Katalogen nicht stimmt. Es empfiehlt sich, sowohl die Signaturen als auch die auf dem System installierten Stammzertifikate zu überprüfen.

In komplexeren Szenarien ist es möglich, Folgendes zu erstellen: Sendungen mit mehreren ControllernÜblicherweise werden dazu separate Unterordner innerhalb der Dateistruktur erstellt, einer für jedes Treiberpaket (DriverPackage1, DriverPackage2 usw.). Anschließend wird die DDF-Datei so angepasst, dass jeder Satz von .SYS- und .INF-Dateien in einem eigenen Unterordner innerhalb der CAB-Datei abgelegt wird. MakeCab fügt dann alles zu einer einzigen CAB-Datei zusammen, die anschließend an das Portal übermittelt werden kann.

Fahrersignaturen aus der Sicht des Benutzers

Aus Sicht des Endnutzers wird die Fahrerunterschrift als eine In Windows integrierter SicherheitsfilterWie bei signierten Anwendungen besteht die Idee darin, dass der Benutzer weiß, dass die Software aus einer legitimen Quelle stammt und nicht verändert wurde. Bei Treibern ist die Anforderung jedoch höher, da sie mit sehr hohen Berechtigungen arbeiten.

Wenn ein Fahrer ordnungsgemäß unterzeichnet und über offizielle Kanäle veröffentlicht wird, Windows Update Das Betriebssystem selbst verteilt die Updates recht transparent. Dadurch erhalten Benutzer problemlos aktualisierte und fehlerbehobene Versionen, ohne manuell danach suchen zu müssen, und können sich darauf verlassen, dass diese die Filter von Microsoft durchlaufen haben.

Das Problem entsteht, wenn Sie installieren müssen Treiber, die nicht digital signiert sind oder deren Signatur nicht mehr den aktuellen Richtlinien entspricht (z. B. bei der Verwendung älterer Hardware auf neueren Systemen). In diesen Fällen blockiert Windows die Installation oder zeigt wiederholt Warnungen an, sodass zur Fortsetzung der Installation auf fortgeschrittenere Lösungen zurückgegriffen werden muss.

Methoden zur Installation unsignierter Treiber (und deren Risiken)

Es gibt mehrere Möglichkeiten, Treiber zu installieren, die nicht den Signaturrichtlinien entsprechen, aber es ist wichtig zu beachten, dass Jede Methode birgt ein unterschiedliches Risikoniveau.Eine temporäre Anpassung, die beim Neustart rückgängig gemacht wird, ist nicht dasselbe wie die vollständige Deaktivierung der Integritätsprüfungen.

Eine gängige Methode ist Starten Sie Windows, indem Sie die obligatorische Verwendung signierter Treiber vorübergehend deaktivieren.Starten Sie dazu Ihren Computer neu, indem Sie die erweiterten Optionen aufrufen (z. B. über das Startmenü, indem Sie beim Klicken auf „Neustart“ die Umschalttaste gedrückt halten). Gehen Sie dann zu „Problembehandlung“ > „Erweiterte Optionen“ > „Starteinstellungen“ und wählen Sie die Option „Treibersignaturprüfung deaktivieren“. Das System startet anschließend ohne Signaturanforderung, sodass Sie den Treiber installieren können. Beim nächsten Neustart wird der Schutz automatisch wiederhergestellt.

Eine weitere Option, die nur in Windows 10/11 Pro und höhere EditionenVerwenden Sie dazu den Gruppenrichtlinien-Editor (gpedit.msc). Unter Benutzerkonfiguration > Administrative Vorlagen > System > Treiberinstallation können Sie die Richtlinie „Codesignierung für Gerätetreiber“ bearbeiten und deaktivieren. Nach einem Neustart ist Windows deutlich toleranter gegenüber unsignierten Treibern oder Treibern mit fragwürdigen Signaturen.

Für Test- und Entwicklungsszenarien gibt es das sogenannte Versuchs-Modus Der Windows-Testmodus wird über die Administratorkonsole mit dem Befehl `bcdedit` aktiviert und ermöglicht das Laden von Treibern, die mit Testzertifikaten signiert sind, ohne dass diese die öffentliche Infrastruktur durchlaufen müssen. In diesem Modus wird üblicherweise ein Wasserzeichen auf dem Desktop angezeigt, das darauf hinweist, dass sich das System im Testmodus befindet.

Schließlich gibt es noch die extremste Option: Treiberintegritätsprüfung vollständig deaktivieren Die Verwendung von bcdedit.exe (Parameter „nointegritychecks“) macht das System völlig anfällig für die Installation beliebiger Treiber, ob legitim oder nicht. Daher sollte diese Methode nur in Ausnahmefällen und mit vollem Bewusstsein über die damit verbundenen Konsequenzen angewendet werden.

Reale Gefahren der Deaktivierung der Fahrerunterschrift

Das Deaktivieren dieses Schutzes ist nicht nur eine kleine Unannehmlichkeit, sondern öffnet Tür und Tor für Eine der am schwierigsten zu erkennenden Bedrohungen: Rootkits auf Treiberebene.Diese werden so installiert, als wären es legitime Treiber, aber sobald sie geladen sind, verfügen sie über SYSTEM-Berechtigungen und die Fähigkeit, das System auf einer sehr niedrigen Ebene zu überwachen oder zu manipulieren.

Ein Rootkit dieser Art kann Internetverkehr abfangen, gefälschte Zertifikate einfügen, Verbindungen auf vom Angreifer kontrollierte Websites umleiten, die Installation von Antivirenprogrammen blockieren und das Eindringen weiterer Schadsoftware ermöglichen. All dies geschieht praktisch spurlos für den Benutzer und selbst für viele herkömmliche Sicherheitslösungen.

Durch das Ausführen mit höchsten Berechtigungen sind diese bösartigen Treiber praktisch unsichtbar und schwer zu beseitigenIn vielen Fällen ist die einzig realistische Lösung Folgendes: formatear den gesamten PC neu aufsetzen und von vorne beginnen, was einen erheblichen Zeit- und Datenverlust bedeutet, wenn keine aktuellen Backups vorhanden sind.

Wenn Sie also von einer Anwendung aufgefordert werden, die Treibersignaturprüfung zu deaktivieren, um „etwas Magisches“ zu installieren, ist Misstrauen angebracht. Wann immer möglich, ist es vorzuziehen, … Suchen Sie nach Alternativen oder signierten Versionen.selbst wenn dies bedeutet, auf bestimmte veraltete Hardware oder einige spezifische Funktionen zu verzichten.

Windows-Treiber im Vergleich zu Herstellertreibern

Bei der Installation von Peripheriegeräten und Komponenten bietet Windows normalerweise Folgendes an: generische Treiber Diese Treiber ermöglichen die grundlegende Nutzung der Hardware. Beispielsweise kann ein Multifunktionsdrucker mit dem generischen Treiber problemlos drucken. Wenn Sie jedoch scannen, den automatischen Dokumenteneinzug nutzen oder auf erweiterte Optionen zugreifen möchten, benötigen Sie mit ziemlicher Sicherheit das offizielle Treiberpaket des Herstellers.

Das Gleiche gilt für Soundkarten, Grafikkarten und andere komplexe Geräte: Mit generischen Treibern funktioniert der Computer zwar, aber Sie verlieren Funktionen, Leistungsoptimierungen oder erweiterte Konfigurationsmöglichkeiten. Offizielle Treiber bieten diese Funktionen in vielen Fällen ebenfalls. spezifische Fehlerbehebungen die niemals die generischen Treiber von Microsoft erreichen.

Der richtige Ort zum Herunterladen dieser Treiber ist immer der offizielle Website des HardwareherstellersBei einer Google-Suche werden Ihnen oft zuerst Seiten von Drittanbietern mit verdächtigen Treiber-Downloadern oder Installationsdateien angezeigt. Links, die nicht von der Website des Herstellers stammen, sollten Sie ignorieren.

Wenn die Treibersignatur aktiviert bleibt, werden viele dieser verdächtigen Pakete von Windows blockiert, sobald erkannt wird, dass es sich um ungültige Software handelt oder die Signaturen nicht in Ordnung sind. Dies dient als zusätzliche Sicherheitsebene gegen fehlerhafte oder gar schädliche Installationsprogramme.

Praxisbeispiel: Signierzertifikatsfehler bei GPU-Treibern unter Windows 7

Auf Computern mit älteren Systemen wie Windows 7 64-BitBei der Installation moderner Treiber für Grafikkarten oder andere aktuelle Hardware treten relativ häufig Probleme auf. Ein typisches Beispiel ist die Fehlermeldung „Die Signaturzertifikate sind nicht installiert. Bitte installieren Sie die erforderlichen Zertifikate.“ beim Versuch, Treiber für Grafikkarten oder andere Hardware zu installieren. Nvidia für GPUs wie die GTX 1060 oder die GTX 950.

In vielen Fällen funktioniert der Treiber nach einem Neustart nicht mehr, selbst wenn der Benutzer die Treibersignatur beim Systemstart deaktiviert hat, da die Signierungsrichtlinie wieder aktiviert wird. Lösungsansätze wie die Installation aller vorherigen Treiberversionen, die Verwendung alternativer Installationsprogramme (z. B. Snappy Driver Installer), die Installation von SHA-2-Unterstützungsupdates (z. B. KB3033929) oder die Neuinstallation über den Geräte-Manager wurden erfolglos ausprobiert.

Eine praktische Lösung, die sich bewährt hat, ist das manuelle Extrahieren des Inhalts der Installationsversion. 474.11 (neuester WHQL-Treiber für Windows 7) Wechseln Sie in einen Ordner und aktualisieren Sie den GPU-Treiber im Geräte-Manager, indem Sie die Option zum Suchen des Treibers auf dem Computer auswählen und diesen Ordner angeben. Dieselbe Methode kann bei späteren Versionen, wie z. B. 474.14, fehlschlagen, wenn der Assistent INF-Dateien nicht als gültig für dieses System erkennt.

Dieser Fall verdeutlicht, wie fragil das Gleichgewicht zwischen aktuelle Fahrer, SHA-2-Zertifikate und OS wird nicht mehr unterstütztEs wird zunehmend schwieriger, moderne Treiber auf älteren Plattformen zu installieren und sicher zu halten, die keine Updates oder Sicherheitspatches mehr erhalten.

Wie man Probleme mit fehlerhaften Treibern erkennt und behebt

Selbst wenn die Fahrer ordnungsgemäß unterschrieben sind, können sie beschädigt werden oder unbeständig werden Dies kann aus vielen Gründen geschehen: Konflikte mit anderen Programmen, Schadsoftware, unterbrochene Installationen, Windows-Updates, die nicht erfolgreich abgeschlossen werden usw. In diesem Fall funktioniert das betroffene Gerät in der Regel nicht mehr oder nur noch unregelmäßig.

Das erste Diagnoseinstrument ist das Geräte-ManagerEin Rechtsklick auf die Start-Schaltfläche und Auswahl der entsprechenden Option öffnet eine vollständige Liste aller erkannten Hardware. Geräte mit Treiberproblemen werden mit einem gelben Warnsymbol gekennzeichnet.

In solchen Fällen empfiehlt sich als erster Lösungsansatz, mit der rechten Maustaste auf das Gerät zu klicken, „Treiber aktualisieren“ auszuwählen und Windows nach einem passenderen Treiber suchen zu lassen – entweder lokal oder über Windows Update. Sollte dies nicht funktionieren, können Sie das Gerät deinstallieren (gegebenenfalls mit der Treibersoftware) und den Computer neu starten, damit Windows versucht, den Treiber neu zu installieren.

Darüber hinaus enthält Windows eine Fehlerbehebung bei Hardware und Geräten Innerhalb des Einstellungsfensters, genauer gesagt im Abschnitt „Update und Sicherheit“ > „Problembehandlung“, scannt dieser Assistent das System auf Unregelmäßigkeiten und schlägt automatisierte Aktionen zur Wiederherstellung der Funktionalität bestimmter Treiber vor.

Wenn ein bestimmtes Treiberupdate das Problem verursacht hat, kann es hilfreich sein, die Option zu verwenden „Zum vorherigen Controller zurückkehren“ Im Reiter „Treiber“ der Geräteeigenschaften, sofern Windows die vorherige Version beibehält, kann die problematische Installation rückgängig gemacht und die Systemstabilität möglicherweise wiederhergestellt werden.

Anzeigen und Analysieren von Drittanbietertreibern, die unter Windows installiert sind

Um eine bessere Kontrolle darüber zu haben, was auf dem System installiert ist, können Tools von Drittanbietern wie z. B. Treiberansicht Das Tool von Nirsoft zeigt eine detaillierte Liste aller auf Ihrem Computer installierten Treiber an. Es handelt sich um ein kostenloses, portables Hilfsprogramm, das die Treiberprüfung erheblich vereinfacht.

DriverView verwendet einen sehr einfachen Farbcode: Microsoft-Treiber mit gültiger digitaler Signatur werden mit weißem Hintergrund angezeigt.Treiber von Drittanbietern (von Herstellern oder zusätzlicher Software) werden rot hervorgehoben. Dies hilft, schnell zu erkennen, welche Komponenten nicht direkt vom Betriebssystem abhängen.

Die Liste lässt sich nach Spalten sortieren, beispielsweise nach „Firma“, um alle Treiber desselben Herstellers zu gruppieren. Darüber hinaus bietet das Menü „Ansicht“ üblicherweise eine Option, um alle Microsoft-Treiber auszublenden und nur Treiber von Drittanbietern anzuzeigen. So können Sie sich auf diejenigen konzentrieren, die am ehesten Konflikte verursachen.

Durch Doppelklicken auf einen beliebigen Eintrag öffnet sich ein Fenster mit detaillierte FahrerinformationenVersion, vollständiger Pfad, Beschreibung, Hersteller, Upload-Datum usw. Bei unbekannten oder verdächtigen Treibern helfen diese Daten festzustellen, ob sie Teil eines Programms sind, das wir tatsächlich verwenden, oder ob es ratsam ist, sie weiter zu untersuchen und gegebenenfalls zu deinstallieren.

Angesichts dieses Gesamtbildes ist klar, dass die Treibersignaturen und Zertifikate in Windows Sie sind keine bloße Formalität, sondern ein grundlegender Bestandteil für die Systemstabilität und -sicherheit. Das Verständnis, wie Treiber signiert werden, welche Anforderungen sich zwischen Windows-Versionen ändern, welche Validierungstools existieren und wie bei unsignierten oder fehlerhaften Treibern zu verfahren ist, ermöglicht es uns, unsere Hardware optimal zu nutzen und gleichzeitig wachsam gegenüber minimalen Bedrohungen zu bleiben.