ニュースソース:MSDN (Microsoft Developer Network)
以下の文章は、2017年1月24日公開されたDriver Signing Policyを要約したものです。原文ではOSタイプ、セキュアブートタイプごとのSignature要件詳細表も記載されています。
Windows10バージョン1607の新規インストール以降、ポータル(Windows Hardware Developer Center Dashboard portal)によって署名されていない新しいカーネルモードドライバーは認識されません。ドライバーの署名を取得するには、EVコードサイニング証明書を取得してから、新しいドライバーをポータルに提出します。
例外として、セキュアブートがオフである場合、ドライバーが2015年7月29日以前に発行されたクロス署名証明書で署名されている場合、もしくは以前のリリースからWindows10バージョン1607にアップグレードされている場合には、クロス署名付きドライバーが引き続き許可されます。
以前のバージョンのドライバーへの署名については、HLKテスト(Windows 10)、もしくはHCKテスト(Windows 8.1およびそれ以前のバージョン)を実行し、Windows10 HLKで二つのログをマージ、ドライバーとマージしたHLK / HCKテスト結果をポータル(Windows Hardware Developer Center Dashboard portal)に提出します。
Windows10以前の以下のドライバーでは、クロス署名に使用されるMicrosoftのクロス証明書とAuthenticode証明書が必要です。
- カーネルモードのデバイスドライバー
- ユーザーモードのデバイスドライバー
- Protected User Mode Audio(PUMA)とProtected Audio Path(PAP)を使用するオーディオドライバー、およびPVP-OPM対応のビデオドライバーを含む保護されたコンテンツをストリーミングするドライバー
Windows8以降、初期設定でセキュアブートが有効になっています。
セキュアブートが有効の場合、Windowsはデジタル署名されたドライバーのみ読み込みます。