Windows 10 Anniversary Update fordert signierte Treiber schärfer ein
Seit der 64-Bit-Version von Windows Vista verlangt Microsoft digital signierte Treiber für PC-Komponenten; die jüngste Windows-10-Version 1607 (Redstone) schraubt die Anforderungen höher.
Seit einem Jahrzehnt laden 64-Bit-Versionen von Microsoft Windows bloß noch digital signierte Treiber für PC-Komponenten – eigentlich. Weil es nämlich viele Hardware-Hersteller damit nicht so genau nehmen und um Lösungsmöglichkeiten für Probleme mit älteren Geräten zu erhalten, lässt sich der Zwang zu signierten Treibern in mehreren Fällen aufweichen oder umgehen.
In Zukunft, nämlich bei PCs und Notebooks mit frisch installiertem Windows 10 Anniversary Update, zieht Microsoft die Signatur-Schraube weiter an: Wie ein Blog-Beitrag über "Driver Signing changes in Windows 10, version 1607" erklärt, laden bestimmte Versionen von Windows 10 je nach Installation nur noch Kernel-Mode-Treiber mit Signaturen direkt von Microsoft, deren Code mit einem "Extended Validation"-(EV-)Zertifikat eingereicht wurde.
Nicht bei Upgrade-Installationen
PC-Besitzer, die Windows 10 selbst installieren oder ein Upgrade von einer älteren Windows-Version aus vorgenommen haben, bekommen davon vermutlich nichts mit: Der Zwang zu Microsoft-signierten Treibern gilt nämlich ausschließlich für frisch installierte Windows-10-Versionen auf UEFI-Systemen mit aktivierter Secure-Boot-Funktion. Selbst dann gibt es weiterhin Ausnahmen: Ältere Treiber, die vor dem 29. Juli 2015 mit einem (künftig nicht mehr zulässigen) Cross-Zertifikat signiert wurden, werden weiter geladen. Und auch Treiber, die zum Booten nötig sind, lädt das Betriebssystem trotz Signatur-Mängeln.
Notfalls schaltet man Secure Boot im BIOS-Setup ab oder wechselt dort auf den BIOS-kompatiblen Startmodus: Dann spielt Secure Boot keine Rolle; hier sind also keine Auswirkungen der neuen Richtlinie in Windows 10 Anniversary Update zu erwarten. Für 32-Bit-Installationen gelten wiederum laxere Vorschriften für Treiber-Signaturen – außer bei den wenigen Tablets, Netbooks und HDMI-Sticks mit Intel Atom oder ARM-SoCs und einem 32-Bit-UEFI-BIOS.
Trifft vor allem PC-Hersteller
Somit wird deutlich, dass die verschärften Anforderungen an Treiber-Signaturen vor allem PC-Hersteller betreffen, die Rechner mit vorinstalliertem Windows 10 Version 1607 ausliefern: Gemäß den Logo-Richtlinien muss dabei UEFI Secure Boot aktiviert sein.
Der Blog-Eintrag stellt auch klar, dass Microsoft in Zukunft Treiber mit Cross-Zertifikaten "blockieren" will und fordert Hardware-Hersteller dringend dazu auf, sich Code-Signing-Zertifikate mit Enhanced Validation zu beschaffen sowie damit signierte Treiber nach den bereits 2015 veröffentlichten Richtlinien zur Signierung bei Microsoft einzureichen.
Code-Signaturen erschweren Manipulationen
Digitale Signaturen schützen Treiber vor Manipulationen und ermöglichen eine sichere Identifikation des Code-Zulieferers. Digital signierte Treiber sollen also Windows vor Malware schützen und es Microsoft erleichtern, die Ursachen für Abstürze und andere Probleme zu identifizieren. Das Verbot von Cross-Zertifikaten für Treiber soll Sicherheit und Stabilität weiter steigern, verspricht Microsoft.
Der Umgang mit den EV-Zertifikaten stellt größere Firmen aber vor Schwierigkeiten, beispielsweise wenn diese an ein Hardware-Token gebunden sind und es mehrere Firmenstandorte auf der Welt gibt, wie das Unternehmen OSR in einem Blog-Beitrag erklärt. Angeblich soll auch ein Registry-Patch veröffentlich werden, mit dem sich der EV-Zertifikat-Zwang testweise abschalten lässt.
Ein EV-Zertifikat für Code-Signing kostet bei Digicert beispielsweise rund 330 US-Dollar pro Jahr. Der Treiber-Programmierer David Grayson von Pololu Robotics & Electronics wiederum erklärt, wie das Signieren von Windows-Treibern praktisch funktioniert. (ciw)