内核模式代码签名走查（四）



如何禁用测试计算机上的强制签名

在驱动程序开发的早期阶段，开发人员签署每个构建都可能很麻烦。因为这个原因，WindowsVista提供了几个方式来临时禁用内核模式代码签名实施，以便测试计算机可以安装和加载未签名的驱动程序：

• 附加一个内核调试器。

将活动内核调试器附加到测试计算机会禁用WindowsVista中内核模式签名的强制，并允许加载未签名的驱动程序。

• 使用F8选项。

  WindowsVista介绍了F8高级启动选项，关闭强制使用驱动数字签名，这个设置可以允许在当前引导会话上禁用测试计算机上的内核签名的实施。这个设置不会在后续的引导设置中持久。图示36显示了高级启动选项中禁用强制使用数字签名的高亮选项。

 

图示36  F8高级启动选项屏幕

注:在之前的版本中，Windows Vista Beta2提供了一个BCDedit选项，nointegritychecks，允许在测试目的下加载不签名的驱动。这个选项只有在WindowsVista Beta2发布版可用。Windows Vista操作系统加载器或内核不再支持Nointegritychecks选项。在Windows Vista RC1和RTM中设置可选项成功，BCDedit显示NoIntegrityChecks为true（yes）；然而，它对操作系统的加载器或内核的行为没有影响。更多的信息关于启动配置数据（BCD）和BCDedit，参考“Windows Vista启动配置数据”。

 

资源

更多关于内核驱动的数字签名疑问。可以发送邮件至：signsup@microsoft.com

下列的Link提供了更多的关于签名和相关话题信息：

General

Boot Configuration Data Editor Frequently AskedQuestions

http://technet2.microsoft.com/WindowsVista/en/library/85cd5efe-c349-427c-b035-c2719d4af7781033.mspx?mfr=true

Boot Configuration Data in Windows Vista

http://www.microsoft.com/whdc/system/platform/firmware/bcd.mspx

Driver Signing Requirements for Windows

http://www.microsoft.com/whdc/winlogo/drvsign/drvsign.mspx

Windows Driver Kit (WDK)

http://www.microsoft.com/whdc/driver/WDK/aboutWDK.mspx

Windows Logo Program

http://www.microsoft.com/whdc/winlogo

Windows Platform SDK download site

http://www.microsoft.com/downloads/details.aspx?FamilyId=A55B6B43-E24F-4EA3-A93E-40C0EC4F68E5&displaylang=en

Windows Platform SDK installation instructions

http://msdn2.microsoft.com/en-us/library/ms717328.aspx

Windows Quality Online Services (Winqual)

https://winqual.microsoft.com

Windows Vista

http://www.microsoft.com/windowsvista/

Code Signing

Code-Signing Best Practices

http://www.microsoft.com/whdc/winlogo/drvsign/best_practices.mspx

Code Signing for Protected Media Componentsin Windows Vista

http://www.microsoft.com/whdc/winlogo/drvsign/Pmp-sign.mspx

Creating strong passwords

http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/windows_password_tips.mspx?mfr=true

CryptCATAdminAddCatalog in the SDK documentationon MSDN

http://go.microsoft.com/fwlink/?LinkId=95778

Deploying Authenticode with Cryptographic Hardwarefor Secure Software Publishing

http://www.microsoft.com/technet/security/topics/cryptographyetc/authenticodets.mspx

Driver Package Integrity during Plug and PlayDevice Installs in Windows Vista

http://www.microsoft.com/whdc/winlogo/drvsign/pnp-driver.mspx

Microsoft Cross-Certificates for Windows VistaKernel Mode Code Signing

http://www.microsoft.com/whdc/winlogo/drvsign/crosscert.mspx
This Web page includes:

• A list of Root Authoritycross-certificates.

• A list of CAs that provide SPCsfor kernel-mode code signing.

Tools

Certificate Creation Tool (Makecert.exe)

http://go.microsoft.com/fwlink/?LinkId=95774

Certificate Manager Tool (Certmgr.exe)

http://go.microsoft.com/fwlink/?LinkId=95775

Debugging Tools for Windows

http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx

SignTool

http://go.microsoft.com/fwlink/?LinkId=95786

Using MakeCat

http://go.microsoft.com/fwlink/?LinkId=95790

 

术语对照表

（汉-英）

测试签名—Test-Sign

发布签名—Release-Sign

根代理密钥--theRoot Agent key

证书存储--certificatestore

证书信任列表--certificatetrust lists(CTLs)

证书吊销列表--certificaterevocation lists(CRLs)

证书链--certificatechain

目录数据库--catalogdatabase

交叉证书--cross-certificates

驱动测试管理器—DriverTest Manager (DTM)

受信任的根证书颁发机构--RootCertification Authorities certificate

控制台—ManageMentConsole(MMC)

证书管理单元--Certificates snap-in

引导-启动--boot-start

受信任的发布者—trustedpublisher

代码完整性--CodeIntegrity