Signierte und unsignierte Treiber unter Windows 7

Bootscreen mit der Auswahl, nicht signierte Treiber zu installierenDie Stabilität der Installation eines Betriebssystems steht und fällt mit der Qualität seiner Kernel-Treiber. Als privilegierte Software, die direkten Zugriff auf den Kernel hat, kann ein fehlerhafter Treiber Fehlfunktionen und Abstürze verursachen. Über einen Kernel-Treiber ließe sich auch Datenspionage betreiben, ohne dass dies durch Sicherheitssoftware wirksam verhindert werden könnte. Den Ausweg aus diesem Problem bietet Code-Signierung, bei welcher der Treiber mit einer elektronischen Signatur versehen wird, ähnlich wie etwa eine signierte Mail. Damit ist er elektronisch unterschrieben, und sein Anwender kann sich auf dessen garantierte Herkunft verlassen sowie darauf, dass er zwischendurch nicht verändert wurde.

Unter 64-Bit-Windows nur noch signierte Treiber

Windows 64-Bit erlaubt nur noch signierte Kernel-TreiberMicrosoft nutzt die mittel- und langfristige Umstellung auf 64-Bit-Betriebssysteme, um hier Treiber-Signaturen verpflichtend einzuführen. Treiber, die keine Signatur haben, kann man unter 64-Bit-Windows nicht mehr installieren. Das betrifft sowohl Vista, Windows 7 als auch die Server-Versionen Windows Server 2008 und Windows Server 2008 R2. Für Treiber, die bereits beim Booten geladen werden, etwa für Dateisysteme, sind die Anforderungen noch größer, hier benötigt man eine Signatur auch für die 32-Bit-Variante von Windows. Microsoft beschreibt die Anforderungen hier genauer, allerdings noch auf dem Stand von Vista/Windows Server 2008.

Technisch betreffen diese Anforderungen nur Kernel-Treiber. Um ein Windows-Logo auf die Verpackung eines Gerätes zu erhalten, sind Hardware-Hersteller allerdings gefordert, generell jeden Treiber zu signieren.

Unsignierten Treiber trotzdem verwenden?

Über eine entsprechende Startoption beim Systemstart mit der Taste ‹F8› kann man Windows so starten, dass es bis zum nächsten Herunterfahren auch unsignierte Treiber zur Installation akzeptiert. Praktikabel ist dies schon kaum für Heimanwender, erst recht nicht in einem professionellen Umfeld. Es existieren eine Reihe von Hacks, welche die Pflicht zur Treibersignierung umgehen sollen, darunter abenteuerliche Tools wie „Ready Driver Plus“, das die ‹F8›-Sequenz beim Start per USB-Bootstick automatisiert oder der „Driver Signature Enforcement Overrider“ (beide absichtlich nicht verlinkt).

Besser: Treiber testen und selbst signieren

Der saubere Weg ist es, wirklich nur signierte Treiber zu verwenden und die Signatur zur Not selbst zu erstellen, wenn der Hersteller nicht bereit oder in der Lage dazu ist. Der Aufwand ist nicht allzu groß, erst recht, wenn man sowieso eine Zertifizierungsstelle betreibt. Microsoft beschreibt in einem Whitepaper, wie man Kernel-Treiber zertifiziert, auch wenn man als Administrator sonst über keine Erfahrung in der Treiberprogrammierung verfügt. Im Gegensatz zu den teilweise abenteuerlichen Tipps, die im Web kursieren, ist dies für ein Unternehmen die einzig richtige Lösung.

1 Kommentar

Bild von Lutz
Lutz (Besucher) sagt:

Gibt jetzt auch ne Methode für Windows 8

http://goo.gl/PsiO3

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen