Windows 10, Version 1607: Treiber-Signierung geändert

Mit der am 2. August 2016 beginnenden Auslieferung des Anniversary Update (Windows 10, Version 1607) ändert Microsoft auch die Anforderungen an Windows-Treiber. Diese müssen speziell signiert sein.


Werbung

Konkret müssen alle neuen Kernelmode-Treiber bei einer Neuinstallation von Windows 10 ab der Version 1607 des Betriebssystems von Microsoft digital signiert worden sein. Dazu hat der Treiberentwickler diese Treiber beim Windows Hardware Developer Center Dashboard portal (Dev Portal) einzureichen. Dies erfolgt aus Sicherheitsgründen, um die Codeintegrität des Windows Kernels sicherzustellen. Nicht von Microsoft signierte neue Treiber werden bei einer Neuinstallation von Windows 10 abgewiesen (konkret: Das Betriebssystem lädt die Treiber einfach nicht, wenn keine entsprechende Microsoft Signatur gefunden wird).

Die Änderung war von Microsoft bereits bei der Einführung von Windows 10 (Build 10240) vorgesehen. Da die Verfügbarkeit entsprechend signierter Treiber aber nicht sichergestellt werden konnte, hat sich Microsoft den “Marktgegebenheiten” gebeugt. Es wurden auch Treiber zugelassen, die von anderen Stellen signiert wurden.

Microsoft lässt dabei folgende Ausnahmen für Treiber, die von einer dritten Instanz signiert wurden, zu.

  • Ein Upgrade des Systems von einer Windows-Version vor Windows 10 Version 1607 hat keinen Einfluss – es sind auch Treiber mit Signaturen anderer Stellen (cross signing) zugelassen.
  • Ist Secure Boot abgeschaltet, lädt Windows 10 Version 1607 das Laden von Treibern mit einer Signatur von anderen Stellen zu.
  • Treiber, die vor dem 29. Juli 2015 (dem Erscheinungstag von Windows 10) herausgegeben und durch Drittinstanzen “cross”-signiert wurden, werden weiterhin akzeptiert und geladen.
  • Um zu verhindern, dass das System durch nicht Microsoft-signierte Treiber nicht mehr bootet, werden Boot-Treiber nicht blockiert. Die Treiber werden aber durch einen Programm-Kompatibilitätsassistenten entfernt. Künftige Versionen von Windows 10 werden diese Treiber auch beim Booten blockieren..

Alle Treiber, die nach dem 29. Juli 2015 (dem Erscheinungstag von Windows 10) herausgegeben und durch Drittinstanzen “cross”-signiert wurden, sind also ab Windows 10 Version 1607 als kritisch anzusehen.Dies könnte dazu führen, dass so manche Hardware nach einer Neuinstallation von Windows 10 Version 1607 nicht mehr läuft – nämlich immer dann, wenn der Hersteller seine Treiber nicht durch Microsoft signieren lässt und die cross-Signierung nach dem 29. Juli 2015 erfolgte.

Mit der neuen Regel will Microsoft Windows 10 langfristig sicherer machen, nimmt aber die Hersteller an die Kandare. Wer sich die Treiberabnahme durch Microsoft samt deren Signatur nicht leisten will oder kann, dessen Hardware läuft nicht mehr unter Windows 10. Weitere Details lassen sich in diesem Technet-Artikel vom 26. Juli 2016 nachlesen. Ob, neben dem Abschalten des Secure Boots, die in diesem Forenposting genannten bcdedit-Optionen noch greifen, bleibt abzuwarten. (via)

Nachtrag: Eine Erklärung, was hinter Kernelmode- und Usermode-Treibern steckt, findet sich im Artikel Windows Kernelmode und Usermode-Treiber erklärt.


Werbung



Dieser Beitrag wurde unter Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Kommentare zu Windows 10, Version 1607: Treiber-Signierung geändert

  1. Tim sagt:

    HAHA… spätestens jetzt fällt Windows 10 für bestimmte Firmen schlicht aus.
    Geht gar nicht sowas. Nach Updatezwang nun noch ein Treiberkontrollzwang und keiner weiß, wann „die Ausnahmen“ ebenfalls wegfallen, weil MS macht, wies grad in den Kram passt…

    • deo sagt:

      Firmen sollten bei der Build 10240 (Releaseversion) bleiben.
      Die bekommt regelmäßig Sicherheitsupdates.
      Leider muss man dazu die Enterprise Version LTSB haben.
      Bei der Pro Version hängt man im Updatezwang und außerdem werden da die Gruppenrichtlinien so zurechtgestutzt, dass es keinen Spaß mehr macht.

  2. Malte sagt:

    Damit sind viele Computer dazu verdammt auf dem (Friedhof) zu landen.

    • Al CiD sagt:

      Es gibt zum Glück reichlich Alternativen zu nicht funktionierenden oder nicht mehr unterstützten Windowsversionen (Linux, BSD, FreeDOS,etc.)…
      also definitiv kein Grund noch mehr Elektroschrott zu produzieren.

      Falls man es selber nicht machen oder haben möchte kann man die Geräte immer noch an verschiedenen Einrichtungen abgeben, die was damit anfangen können, wie z.B. Schulen, Ausbildungsstätten, etc.

  3. Günther sagt:

    Ganz ehrlich, was interessieren mich irgendwelche alten Rechner. Ich will ein stabiles Betriebssystem und wenn Microsoft nur noch zertifizierte Treiber zuläßt und diese vor der Freigabe prüft…. super. Das hätte schon viel früher passieren müssen, hätte in der Vergangenheit eine Menge Ärger erspart.

  4. Werbung

  5. Juckt mich nicht, Secure Boot ist bei mir sowieso abgeschaltet und dann lässt Windows 10 Version 1607 das Laden von Treibern mit einer Signatur von anderen Stellen zu, also worüber sich großartig aufregen.

    Das finde ich aber höchst fragwürdig „Wer sich die Treiberabnahme durch Microsoft samt deren Signatur nicht leisten will oder kann, dessen Hardware läuft nicht mehr unter Windows 10.“, da gibts hoffentlich mit der Wettbewerbsaufsicht bei uns Probleme, im Endeffekt vielleicht aber auch eine gute Möglichkeit Probleme mit Treiber zu umgehen.

    Kennt jemand Furtrex ein ewiger Kampf mit den Treibern, dann bekommst du ein Treiberpaket und wenn du es öffnest glaubst du dich tritt ein Pferd da sind noch WinME, Win98 und WinXP Treiber drinnen schließlich geht dann zwar einer sobald du die Treiber Verifizierung deaktivierst.

  6. Hardy sagt:

    Also bei Deskmodder sieht man das nicht so eng,da sich das Ganze noch deaktivieren läßt.
    https://www.deskmodder.de/wiki/index.php/Treibersignatur_deaktivieren_Unsignierte_Treiber_installieren_Windows_10

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.