Windows 中的驅動程式憑證和簽章：完整指南

在 Windows 中， 控制器及其數位簽名 它們已成為系統安全的關鍵組成部分。如今，除了讓印表機、顯示卡或智慧卡能夠正常運作之外，更重要的是系統能夠驗證軟體是否正版、完整性良好，以及是否來自可信賴的供應商。

如果你曾經遇到過類似這樣的訊息 “Windows 無法驗證此驅動程式軟體的發布者” 或者在安裝驅動程式時遇到與憑證相關的錯誤——您肯定知道這有多令人沮喪。在本文中，我們將深入淺出地講解 Windows 中的驅動程式簽名機制（包括核心模式和使用者模式），不同 Windows 版本之間的要求差異，如何對驅動程式進行簽名，以及在別無選擇的情況下如何安全地停用簽名驗證。

Windows 中的驅動程式簽署是什麼？為什麼它如此重要？

電話 駕駛員簽名 這僅涉及將數位簽章（基於憑證）與驅動程式包關聯起來。此簽章通常應用於軟體包的目錄檔案（.CAT），或使用嵌入式簽章技術直接應用於驅動程式二進位（.SYS、.DLL 等）。

在裝置安裝過程中，Windows 會使用這些 數位簽名用於兩件關鍵的事情系統會檢查軟體包自簽名以來是否已修改（完整性檢查），並確認軟體供應商（驅動程式發布者）的身份。如果發現任何問題，系統會顯示警告；在更嚴格的情況下，系統會阻止驅動程式的安裝或載入。

在 Windows Vista 及更高版本的 64 位元系統中，微軟引進了一個相當明確的策略： 所有核心模式驅動程式都必須簽名 除了極少數例外情況外，驅動程式都能正常載入。這使得驅動程式與其他系統二進位檔案處於同一安全級別，因為核心級故障可能會完全危及系統安全。

規則變得越來越嚴格了。 El Temppo從 Windows 10 版本 1507 開始，所有驅動程式都透過以下方式簽署： 開發中心 硬件 微軟 它們必須使用 SHA-2 進行簽名。舊的 SHA-1 出於加密安全原因已經過時，微軟一直在逐步將其從整個生態系統中移除。

有一個重要的細節：使用非微軟實體頒發的雙憑證（SHA-1 + SHA-2）簽署的核心模式驅動程式二進位檔案可能有問題。 Windows 10 之前的系統甚至可能導致 Windows 10 及更高版本崩潰。為了防止這種情況發生，微軟發布了 KB3081436 更新，其中包含正確的檔案雜湊值，並修復了這些情況下的載入行為。

Windows驅動程式簽章概述

為了充分理解這一切是如何運作的，將各個概念區分開來很有幫助。一方面，有… 驅動程式程式碼簽名 （核心模式或使用者模式）以及即插即用 (PnP) 裝置安裝的簽章要求。雖然它們密切相關，但並不完全相同：驅動程式可能在二進位層級已正確簽名，但可能不滿足某些額外的安裝要求。

微軟有專門的文檔說明這一點。 Windows Vista 及更高版本系統中核心模組的數位簽名本文檔詳細說明了哪些憑證有效、如何建立信任鏈以及支援哪些雜湊演算法（目前支援 SHA-2）。對於傳輸受保護內容（具有 DRM、PUMA、PAP、PVP-OPM 等的音訊和視訊）的驅動程序，還有專門針對多媒體內容保護的特殊程式碼簽署要求。

關於出版流程，目前有幾種方法 向 Microsoft 硬體入口網站提交驅動程式對於生產環境驅動程序，標準做法是使用 HLK 或舊版 HCK 運行測試，並上傳二進位和測試日誌。對於 Windows 10 上的用戶端場景，可以使用認證簽名，這既可以減少自動化測試的需求，又能保持 Microsoft 的驗證和簽名。

選項 測試簽名 這些驅動程式專為內部開發和測試而設計，適用於使用非公開憑證或私人 PKI 頒發的憑證的情況。只有當系統配置為測試模式或具有允許測試驅動程式的特定策略時，這些驅動程式才會載入。

例外情況和交叉簽名控制器

在Windows 10的中間版本中，所謂的 “具有交叉簽名的控制者” 在特定條件下，仍然允許使用交叉簽章驅動程式。這些驅動程式由供應商使用 Authenticode 證書簽名，該證書連結到由 Microsoft 簽署的中間證書，從而繞過了完整的硬體入口網站工作流程。

微軟設定了若干例外情況，以防止已部署的系統無法啟動。在以下情況下允許使用交叉簽章驅動程式： 該電腦已從先前的 Windows 版本升級至 Windows 10 版本 1607。; 該 開機 BIOS/UEFI 中已停用安全啟動；或驅動程式使用 2015 年 7 月 29 日之前頒發的憑證進行簽名，該憑證連結到受支援的交叉簽名 CA。

為了降低系統無法使用的風險， 啟動控制器 即使驅動程式不符合新策略，也不會被阻止，但程式相容性助理可以標記它們並建議將其移除或替換。這樣做的目的是避免干擾啟動順序，而是逐步移除不相容的驅動程式。

Windows 版本簽章要求

簽名要求因情況而異 作業系統的具體版本 以及系統是否使用安全啟動。一般來說，客戶端版本的簽章策略表可以概括如下：

• Windows Vista 和 窗戶7以及停用安全啟動的 Windows 8 及更高版本。64 位元憑證必須包含簽名，而 32 位元憑證則無需簽名。簽章可以嵌入到憑證檔案中或關聯的目錄中，所需的演算法是 SHA-2。為了確保代碼完整性，憑證鏈必須終止於標準的受信任根憑證。
• 已啟用安全啟動的 Windows 8 和 8.1，以及 Windows 10 版本 1507 和 1511。32 位元和 64 位元驅動程式都需要簽名驅動程式。嵌入式或目錄簽章仍然允許，使用 SHA-2 演算法，並依賴標準根憑證來保證程式碼完整性。
• 啟用安全啟動的 Windows 10 版本 1607、1703 和 1709要求更加嚴格，簽名必須錨定到特定的 Microsoft 根憑證（Microsoft）。 根 Authority 2010、Microsoft Root Certificate Authority 和 Microsoft Root Authority）。
• Windows 10 版本 1803 及更高版本，並啟用安全啟動對於 32 位元和 64 位元系統，都保持了與上述 Microsoft 根授權相關的相同簽署要求。

除了驅動程式程式碼簽署之外，該軟體包還必須符合以下規定： 安裝即插即用設備的簽章要求這意味著 .INF 檔案、目錄和二進位檔案必須正確鏈接，並反映在裝置安裝程式的簽名中（以及 設備管理器認為它們有效。

還有一些特殊類型的駕駛員，例如 ELAM（早期推出的反惡意軟體）這些程序在啟動過程的早期階段加載，以保護系統免受侵害。 惡意軟件 底層驅動程式。這些驅動程式具有額外的簽名和認證要求，這些要求在早期啟動反惡意軟體指南中有所說明。

對適用於 Windows 10、Windows 8.x 和 Windows 7 的驅動程式進行簽名

如果您是驅動程式開發人員或在分發自訂驅動程式的環境中工作，則需要遵守以下規定： Windows硬體相容性計畫（WHCP） 使用適用於各個版本的對應工具：Windows 10 使用 HLK，早期版本使用 HCK。

以 Windows 10 為例，典型的流程是：下載 硬體實驗室套件（HLK） 對於您希望支援的每個 Windows 10 版本，請安裝測試環境，並在執行該版本的用戶端上進行完整的認證測試。每次運行都會產生測試日誌。

如果您測試過多個版本的驅動程序，就會產生多個日誌檔案。這是正常現象。 把所有東西加起來 日誌 使用最新版本的HLK軟體，即可在一份報告中完成所有操作。這種組合簡化了向硬體入口網站提交資訊的流程，並允許一家公司涵蓋多個系統版本。

取得暫存器後，將控制器二進位檔案和合併後的 HLK 結果傳送到 Windows 硬體開發人員中心面板您可以在此處選擇所需的簽名類型（例如，生產、證明等），配置發貨屬性，然後等待 Microsoft 自動程式產生已簽署的目錄並將已認證的包裹回傳給您。

Windows 7、Windows 8 和 Windows 8.1 也採用了類似的方法，但使用的是 硬體認證工具包（HCK） 適用於各個版本。微軟為此工具包提供了一份使用者指南，其中解釋了測試、驗證和交付工作流程。

適用於 Windows 10 版本 1607 之前的驅動程式簽名

在 Windows 10 版本 1607 發布之前，許多類型的驅動程式都需要… 真實證書 結合微軟的交叉認證。這項被稱為交叉簽名的技術，允許製造商對其驅動程式進行簽名，並使 Windows 系統接受這些驅動程序，就好像它們得到了微軟基礎架構的「認可」一樣。

需要這種簽章模型的控制器包括： 內核模式設備驅動程式這些驅動程式包括與核心密切互動的使用者模式驅動程序，以及用於播放或處理受保護內容（受 DRM 保護的音訊和視訊）的驅動程式。後者包括基於 PUMA 或 PAP 的音訊驅動程序，以及管理輸出保護 (PVP-OPM) 的視訊驅動程式。

受保護的多媒體元件的程式碼簽章有其自身的準則，因為信任鍊和憑證擴充必須確保受保護的內容不容易被攔截或竄改。

SignTool 在核心模式下（Windows 7 和 8）對驅動程式進行簽署的實際應用

實際上，Windows 系統中用於簽署二進位檔案的主要工具是 簽名工具包含在 Windows SDK 中。對於 Windows 7 和 8 中的核心模式驅動程序，有許多選項在簽署和驗證時特別有用。

SignTool最重要的參數包括： /ac 新增額外的憑證（例如 Microsoft 交叉憑證）/f 指示包含簽署憑證的檔案（例如，.pfx 檔案），/p 指示該 PFX 檔案的密碼，/fd 指示雜湊演算法（例如，/fd sha256 強制使用 SHA-256，因為 SHA-1 是歷史預設值）。

該參數也至關重要。 /n “憑證的通用名稱”這樣，您就可以使用憑證的通用名稱從 Windows 憑證儲存中選擇正確的憑證。若要新增時間戳，您可以使用 /t 參數連接傳統的 Authenticode 伺服器，或使用 /tr 參數連接符合 RFC 3161 標準的伺服器，後者是最現代且建議的選擇。

一個可能的流程是將驅動程式二進位檔案集中到一個工作目錄中，甚至將所有內容複製到 Windows SDK 的 bin 資料夾中。然後，獲取代碼簽名證書，並在必要時… 微軟交叉認證 （例如，與頒發您憑證的 CA 對應的 CrossCert）。兩者都放置在您執行 SignTool 的相同目錄中。

一切準備就緒後，範例命令可能如下所示： signtool sign /ac CrossCert.crt /f CodeSign.pfx /p password1234 /fd sha256 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sys這會產生一個使用 SHA-256 的現代簽名，包含交叉認證，並添加 RFC 3161 時間戳，這對於即使憑證過期後簽名仍然有效至關重要。

簽名後，建議使用類似這樣的命令進行驗證。 signtool verify -v -kp filter.sys-v 標誌顯示詳細信息，而 -kp 標誌則根據內核模式驅動程式標準檢查簽名。如果輸出顯示簽章有效且信任鏈以可接受的根憑證結尾，則驅動程式即可部署。

需要注意的是，在許多情況下，目錄檔案（.CAT）也需要簽署。流程會重複進行：.CAT 檔案會被簽署和驗證，一切就緒後，驅動程式即可正常安裝到系統中。

用於證明和創建 CAB 套件的簽名

微軟提供 簽名作為證明 這是一種相對輕量級的驅動程式分發方式，尤其適用於 Windows 10 用戶端系統。供應商負責確保驅動程式符合要求，而微軟僅負責驗證和簽名，在某些情況下可以避免執行完整的 HLK 測試。

要透過證明發送控制器， CAB 檔案 它將軟體包的基本組件分組在一起。典型的 CAB 檔案包括二進位驅動程式本身 (.SYS)、Windows 在安裝過程中使用的 INF 檔案 (.INF)、用於故障分析的偵錯符號 (.PDB)，有時還包括 Microsoft 用於檢查結構的 .CAT 目錄（儘管 Microsoft 隨後會為最終發行版產生自己的目錄）。

建立過程很簡單：所有需要簽署的檔案都放在一個目錄中，例如 C:\Echo。從視窗中… 命令 使用管理員權限，查閱 MakeCab 幫助以查看其選項，並準備一個 DDF 文件，其中包含必要的指令，指示哪些文件將被壓縮、將生成哪個 CAB 文件以及它們應該在 CAB 文件中的哪些子文件夾中進行組織。

以 Echo 控制器為例，DDF 檔案可以將輸出名稱設為 Echo.cab，啟用 MSZIP 壓縮，並定義目標目錄（DestinationDir=Echo），從而避免 cab 檔案的根目錄中存在任何散落的檔案。此外，還需要列出 Echo.inf 和 Echo.sys 的完整路徑，以便 MakeCab 能夠將它們包含在內。

DDF 準備好後，執行類似這樣的指令： MakeCab /f Echo.ddf此工具會顯示已包含的檔案數量、壓縮等級以及產生的 CAB 檔案所在的資料夾（通常為 Disk1）。只需使用文件資源管理器開啟 Echo.cab 文件，即可確認其包含所有預期內容。

簽署附有電動車證書的CAB，並將其發送至合作夥伴中心。

在將軟體包上傳到微軟硬體入口網站之前，通常需要執行以下操作： 使用 EV（擴展驗證）證書簽署 CAB 協議這些憑證對實體的驗證更為嚴格，能夠增強信任度，並且通常是某些類型簽署的必要條件。

根據 EV 憑證提供者的不同，流程略有差異，但整體想法是再次使用 SignTool，這次的目標是 CAB。一個典型的命令可能是： SignTool sign /s MY /n “公司名稱” /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /td sha256 /v C:\Echo\Disk1\Echo.cab，它會在駕駛艙中添加帶有 SHA-256 時間戳的 SHA-256 簽名。

註冊後，您即可訪問 微軟合作夥伴中心具體來說，請前往硬體面板並使用您組織的憑證登入。然後，選擇「提交新硬體」選項，上傳已簽署的 CAB 文件，並填寫提交屬性：產品名稱、所需的簽名類型、您需要測試簽名或僅生產簽名等。

這很重要 不要啟動測試簽名選項 如果您正在尋找生產驅動程序，請在所需的簽章部分選擇要包含在軟體包中的變體（例如，不同 Windows 版本或架構的簽章）。

表格填寫完畢後，點擊“提交”，等待入口網站處理該軟體包。微軟完成驅動程式簽署後，面板將顯示提交已處理完畢，並允許進行後續操作。 下載已簽署的驅動程式通常也會附帶分發所需的目錄和元資料。

驗證控制器是否已正確簽名

軟體包下載完成後，現在需要檢查一切是否正常。第一步是將檔案從壓縮包解壓縮到臨時資料夾，然後打開命令提示字元視窗。 管理員權限然後，您可以使用 SignTool 來驗證套用於金鑰二進位檔案的簽章。

一個基本指令是 SignTool 驗證 Echo.sys它可以快速驗證簽名的有效性。如需更徹底的驗證，您可以使用 SignTool 驗證 /pa /ph /v /d Echo.sys其中 /pa 表示應使用 Authenticode 策略，/ph 新增雜湊檢查，/v 產生包含所有憑證鏈資訊的詳細輸出。

若要查看用於簽署的憑證的增強金鑰用途 (EKU)，您可以使用 Windows 資源管理器：右鍵單擊二進位文件，選擇“屬性”，前往“數位簽章”標籤，選擇相關條目，然後按一下“詳細資料”。在「檢視憑證」和「詳細資料」標籤中，您可以檢查「增強金鑰用途」字段，以確認它是否包含用於程式碼簽章或驅動程式簽章的對應擴充功能。

某些簽名工作流程的內部流程顯示微軟 重新插入您自己的 SHA-2 簽名 在二進位檔案中，如果用戶端套用的任何簽章不符合目前原則，則會被移除。同時，也會產生一個由 Microsoft 簽署的新目錄文件，取代供應商先前發送的任何 .CAT 文件。

在 Windows 上測試和安裝驅動程式

驅動程式簽署後，還需要驗證是否能在目標系統上正確安裝和運作。可以透過管理員控制台使用諸如[此處插入工具名稱]之類的工具進行驗證。 開發者大會 為了實現自動化安裝。例如，如果軟體包包含一個定義 root\ECHO 裝置的 echo.inf 文件，則只需執行以下命令即可。 devcon install echo.inf root\ECHO 放入相應的資料夾。

在此過程中，如果所有文件都已妥善簽署， 廣告不應出現 可能會出現類似「Windows 無法驗證此驅動程式軟體的發布者」的訊息。如果出現此類訊息，則表示信任鍊或目錄中的某些內容有錯位，建議檢查系統上安裝的簽章憑證和根憑證。

在更複雜的場景中，可以創建 包含多個控制器的出貨為此，通常的做法是在檔案結構中建立單獨的子資料夾，每個驅動程式套件對應一個子資料夾（DriverPackage1、DriverPackage2 等），並調整 DDF 文件，使每組 .SYS 和 .INF 檔案都放置在 CAB 檔案中各自的子資料夾中。然後，MakeCab 會將所有內容組裝成一個單獨的檔案包，即可提交到入口網站。

從使用者角度看驅動程式簽名

從最終用戶的角度來看，司機簽名被視為一種 Windows 內建的安全篩選器與簽名應用程式一樣，其目的是讓用戶確信軟體來自合法來源且未被篡改。然而，對於驅動程式而言，由於它們擁有極高的權限，因此對安全性的要求更高。

當駕駛員名單經過正式簽署並透過官方管道公佈後， Windows更新 作業系統本身會以相當透明的方式分發更新。這使得用戶可以輕鬆獲取更新和修復版本，而無需手動搜索，並且確保這些版本已經通過了微軟的過濾。

當需要安裝時，問題就出現了。 未進行數位簽章的驅動程式 或者其簽章不再被目前原則接受（例如，嘗試在新系統上使用舊硬體時）。在這種情況下，Windows 會阻止安裝或顯示重複警告，迫使使用者使用更進階的解決方案才能繼續。

安裝未簽署驅動程式的方法（及其風險）

安裝不符合簽名策略的驅動程式有多種方法，但請務必記住： 每種方法所涉及的風險程度都不同。重啟後會恢復的臨時調整與完全停用完整性檢查並不相同。

一種常用的方法是 透過暫時停用強制使用簽章驅動程式來啟動 Windows若要執行此操作，請重新啟動電腦（例如，在“開始”功能表中按住 Shift 鍵並按一下“重新啟動”），然後依序選擇“疑難排解”>“進階選項”>“啟動設定”，並選擇“停用驅動程式簽章強制執行”選項。系統隨後將無需簽名即可啟動，從而允許您安裝驅動程式。再次重新啟動後，保護功能將自動重新套用。

另一種選擇，僅在以下情況下可用： Windows 10/11 專業版及更高版本若要實現這一點，請使用群組原則編輯器 (gpedit.msc)。在「使用者設定」>「管理範本」>「系統」>「驅動程式安裝」中，您可以編輯「裝置驅動程式的程式碼簽署」原則並將其設定為「已停用」。重新啟動後，Windows 對未簽署驅動程式或簽署可疑的驅動程式將更加寬容。

對於測試和開發場景，存在所謂的 試用模式 Windows 測試模式可透過管理員控制台執行 bcdedit 命令激活，允許載入使用測試憑證簽署的驅動程序，而無需透過公共基礎架構。在此模式下，桌面上通常會顯示一個浮水印，表示系統處於測試模式。

最後，還有一個最極端的選擇： 完全禁用驅動程式完整性檢查 使用 bcdedit.exe（不啟用完整性檢查參數）會使系統完全暴露於任何驅動程式（無論合法與否）的安裝風險之中，因此僅應在非常特殊的情況下使用，並且使用者必須完全了解正在執行的操作。

禁用駕駛員標誌的真正危險

禁用此保護措施並非只是造成一些小不便，而是會打開…的大門。 最難偵測的威脅之一：驅動程式層級的rootkit這些程式安裝方式與合法驅動程式相同，但載入後它們擁有系統權限，能夠在非常低的層級監視或操縱系統。

這種類型的rootkit可以攔截網路流量、插入偽造憑證、將連線重定向到攻擊者控制的網站、阻止安裝防毒軟體，並方便其他惡意軟體入侵。所有這些操作幾乎不會對使用者留下任何痕跡，即使是許多傳統的安全解決方案也無法偵測到。

這些惡意驅動程式利用最高權限運行，實際上可以… 無形且難以消除在許多情況下，唯一現實的解決方案包括 格式 如果沒有最新的備份，這將導致整個電腦資料遺失，並從頭開始恢復，這將造成時間和資料的重大損失。

因此，當某個應用程式要求您停用驅動程式簽名強制以安裝「某些神奇的東西」時，保持警惕是明智之舉。盡可能地，最好… 尋找替代方案或簽名版本即使這意味著放棄某些過時的硬體或某些特定功能。

Windows 驅動程式與製造商驅動程式

安裝週邊設備和組件時，Windows 通常會提供 通用驅動程式 這些驅動程式使您能夠以基本方式使用硬體。例如，多功能印表機可以使用通用驅動程式正常列印，但如果您想要掃描、使用自動送稿機或存取進階選項，幾乎肯定需要製造商提供的官方驅動程式套件。

同樣的道理也適用於聲卡、顯示卡和其他複雜設備：使用通用驅動程序，電腦雖然可以運行，但你會失去一些功能、性能優化或高級配置工具。在很多情況下，官方驅動程式也提供這些功能。 具體錯誤修復 永遠不會到達微軟的通用驅動程式。

下載這些驅動程式的正確位置始終是 硬體製造商的官方網站在Google上搜尋時，你經常會看到很多第三方頁面，其中充斥著可疑的「驅動程式下載器」或安裝程式。如果連結並非來自製造商的官方網站，最好忽略它。

如果驅動程式簽章功能保持啟用狀態，Windows 會在偵測到這些可疑軟體包無效或簽章不正確時將其封鎖。這相當於為拙劣或惡意安裝程式提供了一層額外的安全性。

實際案例：Windows 7 系統中 GPU 驅動程式簽署憑證錯誤

在諸如此類的舊式計算機上 Windows 7 64位安裝顯示卡或其他新型硬體的現代驅動程式時，遇到問題較常見。一個典型的例子是，嘗試安裝驅動程式時出現「簽署憑證未安裝。請安裝所需的憑證」的錯誤。 Nvidia公司 適用於 GTX 1060 或 GTX 950 等 GPU。

在許多情況下，即使使用者在啟動時停用驅動程式簽名，重新啟動後驅動程式仍然無法正常運作，因為簽名策略會重新啟用。我們嘗試了多種解決方案，例如安裝驅動程式的所有先前版本、使用其他安裝程式（例如 Snappy Driver Installer）、應用 SHA-2 支援更新（例如 KB3033929）或從裝置管理員重新安裝，但均未成功。

一個行之有效的實用解決方案是手動提取安裝程式版本的內容。 474.11（適用於 Windows 7 的最新 WHQL 驅動程式） 將檔案儲存到某個資料夾，然後在裝置管理員中選擇「在電腦上搜尋驅動程式」選項並指定該資料夾，即可更新 GPU 驅動程式。如果精靈無法識別適用於該系統的 INF 文件，則此方法可能對更高版本（例如 474.14）無效。

這類案例正好說明了兩者之間的平衡有多麼微妙 最新驅動程式、SHA-2 憑證和 OS 已停止支援在無法接收更新或安全性修補程式的舊平台上安裝和維護現代驅動程式變得越來越困難。

如何偵測和修復故障驅動程式的問題

即使駕駛員已正確簽名，他們也可能 變得受損或變得不一致 這種情況可能由多種原因造成：與其他程式衝突、惡意軟體、安裝中斷、Windows 更新未成功完成等等。發生這種情況時，受影響的設備通常會停止工作或運作異常。

第一種診斷工具是 設備管理器右鍵點選「開始」按鈕並選擇對應選項，即可開啟所有已偵測到的硬體的完整清單。如果某個裝置有驅動程式問題，則會顯示黃色警告圖示。

在這種情況下，首先可以嘗試右鍵單擊設備，選擇“更新驅動程式”，讓 Windows 在本機或透過 Windows 更新尋找更合適的驅動程式。如果此方法無效，您可以解除安裝裝置（無論是否保留驅動程式軟體），然後重新啟動，以便 Windows 嘗試重新安裝驅動程式。

此外，Windows 還包含 硬體和設備故障排除程序 在「設定」面板中，特別是在「更新與安全性」>「疑難排解」部分，此精靈會掃描系統是否有異常情況，並建議自動執行某些操作以恢復某些驅動程式的功能。

如果某個特定的驅動程式更新導致了問題，那麼使用以下選項可能會有所幫助： “返回上一個控制器” 在裝置屬性的「驅動程式」標籤中，如果 Windows 保留了先前的版本，則可以撤銷有問題的安裝，並可能恢復系統穩定性。

查看並分析 Windows 上安裝的第三方驅動程式

為了更好地控制系統上安裝的內容，可以使用第三方工具，例如： 駕駛員視圖 Nirsoft 的這款工具可以詳細列出電腦上安裝的所有驅動程式。它是一款免費的便攜式實用程序，能夠極大地簡化驅動程式審核工作。

DriverView 使用非常簡單的顏色代碼： 具有有效數位簽章的微軟驅動程式會顯示為白色背景。第三方驅動程式（來自製造商或其他軟體）以紅色突出顯示。這有助於快速識別哪些元件不直接依賴作業系統。

您可以按列對清單進行排序，例如按「公司」排序，將同一公司的所有驅動程式分組。此外，「檢視」功能表通常包含一個選項，可隱藏所有 Microsoft 驅動程序，僅顯示第三方驅動程序，從而讓您專注於那些最有可能導致衝突的驅動程式。

雙擊任何條目都會打開一個窗口，其中包含… 詳細的駕駛員信息版本、完整路徑、描述、製造商、上傳日期等。對於未知或可疑的驅動程序，這些數據有助於確定它們是否是我們實際使用的程序的一部分，或者是否建議進一步調查甚至卸載它們。

綜合以上所有信息，很明顯… Windows 中的驅動程式簽署和憑證 它們並非僅僅是形式上的，而是維護系統穩定性和安全性的基本組成部分。了解驅動程式的簽章方式、不同 Windows 版本之間的要求變更、可用的驗證工具，以及驅動程式未簽署或失效時的應對措施，能夠幫助我們最大限度地發揮硬體效能，同時警惕各種底層威脅。