要信任一个驱动程序,需要满足以下两个条件:
可靠性:
确保驱动程序来自于它所声明的地方,防止恶意代码仿冒合法的驱动程序入侵系统。
完整性:
确保驱动程序未被恶意篡改,以防发布后有人对其进行改动。
如何验证驱动程序的可靠性
数字证书和数字签名:Windows 7旗舰版使用数字证书和数字签名来满足这两个条件。数字证书通常是由CA(证书颁发机构)颁发的,可以用来证明组织的身份。数字签名则采用数字证书中的信息来对驱动程序包中的具体内容进行加密,以帮助Windows确认该驱动程序是由可信的组织发布的,以确保其可靠性。
微软WHQL签名:用户应该安装带有数字签名的设备驱动程序,特别是带微软WHQL签名的驱动程序,因为这证明该驱动程序经过微软的测试,是安全、稳定、可靠的。
如何验证驱动程序的完整性
INF文件和目录文件:在将驱动程序包暂存到驱动程序存储之前,操作系统首先验证驱动程序包是否受信任。INF文件必须在Version节中具有CatalogFile指令,该指令为与INF文件关联的目录文件提供文件名。目录文件必须包含INF文件和INF文件引用的任何文件的哈希,并且目录文件必须使用受信任的数字签名进行签名。
安装未经数字签名的驱动程序
如果由于某些原因需要安装未经数字签名的驱动程序,可以采取以下步骤:
企业IT部门测试验证:
如果驱动程序是由企业自己所开发的,虽然没有提供数字签名,但已经过企业IT部门的测试验证是可靠的,那么可以在确保系统稳定性的前提下尝试安装。
设备厂商测试验证:
如果驱动程序是设备厂商所开发的,确保是正式版本,虽然没有提供数字签名,但已经过设备厂商或者企业IT部门的测试验证是可靠的,那么也可以在没有数字签名的情况下安装。
建议
在可能的情况下,用户应该优先安装带有数字签名的驱动程序,以确保系统的稳定性和安全性。如果必须安装未经数字签名的驱动程序,务必确保该驱动程序已经过可靠的测试和验证,并且不会对系统稳定性造成影响。