Recordatorio: el soporte para certificados raíz con la capacidad de iniciar sesión en modo kernel finaliza el próximo año

Microsoft eliminará la compatibilidad con los certificados raíz con la capacidad de iniciar sesión en modo kernel en Microsoft Trusted Root en la primera mitad de 2021.

El cambio solo afecta a los dispositivos que ejecutan Microsoft Windows 10, y los controladores que han caducado como parte del cambio ya no se descargarán, ejecutarán ni instalarán en dispositivos con Windows 10.

¿EN QUÉ DIFERENCIAN LAS CONFIGURACIONES DE FIRMA DIFERENTES A LA VERSIÓN VERSIÓN?
el conductor esta trabajandoConductores fichados antes del 1 de julio de 2021Conductor firmado el 1 de julio de 2021 o posterior
Windows Server 2008 y posterior, Windows 7, Windows 8WHQL o controladores con firma cruzadaWHQL o conductores firmados antes del 1 de julio de 2021
ventanas 10WHQL o certificadoWHQL o certificado

Microsoft ha publicado una lista de validez de certificados cruzados de confianza; Todos los certificados cruzados de confianza enumerados vencerán en febrero de 2021 o abril de 2021.

Los certificados de versión comercial, los certificados de editor y los certificados de prueba comercial dejarán de ser válidos cuando caduquen, lo que significa que los controladores firmados con estos certificados también dejarán de ser válidos.

[..] todos los certificados de editores de software, certificados de lanzamiento comercial y certificados de prueba comerciales asociados con estos certificados raíz también pierden validez en el mismo horario.

Microsoft ha informado a los desarrolladores de hardware sobre los cambios en su programa Trusted Root a principios de 2019. La mayoría de los controladores deberían seguir funcionando como antes, pero es posible que los controladores antiguos, como los que no se han actualizado a lo largo de los años, dejen de funcionar como resultado.

La herramienta de línea de comandos SignTool.exe, que se instala automáticamente con Visual Studio, se puede usar para verificar que el controlador continúa ejecutándose. Todo lo que se necesita es ejecutar el comando signtool verificar / v / kp (reemplazar nombre del controlador) y verifique que la cadena cruzada de certificados termine en la raíz de la verificación del código de Microsoft. Si es así, afecta a la firma del certificado.

Los clientes de Windows que se han visto afectados por los cambios, como cuando se ejecutan en hardware antiguo con controladores que el fabricante no ha actualizado en mucho tiempo, solo tienen algunas opciones con las que lidiar. Si no hay una actualización de controlador disponible, puede deshabilitar la verificación de la firma del controlador; esto reduce la seguridad del sistema y puede afectar la estabilidad. Se recomienda realizar una copia de seguridad antes de realizar cambios.

Una de las formas más sencillas de desactivar el control de la firma del controlador es ejecutar el siguiente comando de línea de comandos con privilegios elevados: bcdedit.exe / instalar nointegritychecks.

Para restaurar el antiguo status quo (predeterminado), ejecute bcdedit.exe / establecer nointegritychecks off en su lugar, desde la línea de comandos con privilegios elevados. (a través de Deskmodder)

Artículos de interés

Subir