{"id":241194,"date":"2021-01-06T11:34:08","date_gmt":"2021-01-06T10:34:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=241194"},"modified":"2022-11-23T07:17:39","modified_gmt":"2022-11-23T06:17:39","slug":"windows-10-achtung-treibersignierung-ndert-sich-2021-alt-treiber-nicht-mehr-nutzbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/06\/windows-10-achtung-treibersignierung-ndert-sich-2021-alt-treiber-nicht-mehr-nutzbar\/","title":{"rendered":"Windows 10: Achtung, Treibersignierung ändert sich 2021, Alt-Treiber nicht mehr nutzbar"},"content":{"rendered":"

[English]Microsoft beendet in der ersten H\u00e4lfte des Jahres 2021 die Unterst\u00fctzung f\u00fcr Root-Zertifikate mit Kernel-Mode-Signaturfunktionen im Microsoft Trusted Root Programm. Das f\u00fchrt dazu, dass nicht aktualisierte Treiber unter Windows 10 irgendwann nicht mehr geladen oder installiert werden k\u00f6nnen. <\/p>\n

<\/p>\n

\"\"Ich formuliere es mal so: In gew\u00f6hnlich gut unterrichteten Kreisen ist das eigentlich ein alter Hut, war es doch lange angek\u00fcndigt. Ich bin zum Jahresende durch eine Diskussion auf Twitter<\/a> erneut auf das Thema gesto\u00dfen. <\/p>\n

<\/a><\/p>\n

Ich hatte schon im Oktober 2020 im Beitrag Windows 8.1\/10 blockt falsch signierte Treiber<\/a> auf das Problem hingewiesen, das Treiber von Drittanbietern blockiert werden, wenn diese kein korrektes Format mit Signatur in den Katalogdateien aufweisen. Das Ganze wurde per Oktober 2020-Update scharf geschaltet. Die Geschichte geht aber weiter, da in 2021 ab Februar weitere \u00c4nderungen anstehen. <\/p>\n

Treiber m\u00fcssen richtig digital signiert sein<\/h2>\n

Bereits 2015 gab es den Techcommunity-Beitrag Driver Signing changes in Windows 10<\/a>, der auf die \u00c4nderungen bei der Treibersignierung f\u00fcr Windows 10 hinwies und letztmalig im M\u00e4rz 2019 aktualisiert wurde. Windows 10 l\u00e4dt keine neuen Kernel-Mode-Treiber, die nicht durch das Portal signiert sind. F\u00fcr eine \u00dcbergangszeit konnten Treiber aber auch noch mit anderen Zertifikaten digital signiert werden (cross-signing).<\/p>\n

Root-Zertifikate mit Kernel-Mode-Signaturfunktionen werden ung\u00fcltig<\/h3>\n

Aber das Ganze findet jetzt ein Ende, denn im Jahr 2021 beendet Microsoft die Unterst\u00fctzung f\u00fcr Root-Zertifikate<\/a> mit Kernel-Mode-Signaturfunktionen im Microsoft Trusted Root Programm. Treiber mit cross-signed Zertifikaten verlieren dann ihre Vertrauensstellung. Die Kollegen von deskmodder.de haben Ende November 2020 in diesem Beitrag<\/a> auf diesen Umstand hingewiesen. Vom 22.2.2021 bis zum 15.4.2021 verlieren Treiber mit cross-signed Zertifikaten, abh\u00e4ngig vom Zertifikat, dann ihre Vertrauensstellung und k\u00f6nnen weder installiert noch geladen werden. <\/p>\n

Problem: Alte Treiber mit Drittanbieter-Signatur<\/h3>\n

Da Treiber nun per Windows Update aktualisiert werden, d\u00fcrften die meisten Anbieter, die potentiell betroffen waren, eine aktualisierte Version, die durch das Microsoft Portal signiert wurde, ausliefern. Zum Problem wird aber alte Hardware, die durch digital signierte Treiber unterst\u00fctzt wird, bei denen die Hersteller kein Treiber-Update mehr bereitstellen. Diese Hardware wird dann mangels Treiber nicht mehr funktionieren. <\/p>\n

So kann man pr\u00fcfen oder reagieren<\/h3>\n

Martin Brinkmann hat auf ghacks.com in diesem Artikel<\/a> darauf hingewiesen, dass man mit in Visual Studio mitgelieferten Tool SignTool.exe<\/a> in einer Eingabeaufforderung pr\u00fcfen kann, ob Treiber noch laufen. Hierzu ist folgender Befehl einzugeben:<\/p>\n

signtool verify \/v \/kp <treiber-name.sys><\/p>\n

Dabei steht <treiber-name.sys><\/em> f\u00fcr den betreffenden Treiber. Werden Treiber gefunden, die streiken, gibt es (noch) die M\u00f6glichkeit, diese strikte Treiberpr\u00fcfung unter Windows 10 mit dem Befehl:<\/p>\n

bcdedit.exe \/set nointegritychecks on<\/em><\/p>\n

generell zu deaktivieren. Dies reduziert aber die Sicherheit des Systems, da die Integrit\u00e4t der installierten Treiber nicht mehr gepr\u00fcft wird. Mit dem Befehl: <\/p>\n

bcdedit.exe \/set nointegritychecks off<\/em><\/p>\n

l\u00e4sst sich die strikte Treibersignaturpr\u00fcfung beim Laden durch Windows 10 wieder reaktivieren. Auf Windows 8.1 und Windows Server 2012 R2 hat das Ganze \u00fcbrigens keinen Einfluss, da die \u00c4nderungen sich auf Windows 10 und die Server-Pendants beziehen. <\/p>\n

\n

Im neu f\u00fcr 2021 erwarteten Betriebssystem Windows 10X wird es \u00fcbrigens nicht mehr m\u00f6glich sein, (Desktop-)Treiber per .inf-Datei zu installieren. Dort sind nur noch Windows DCH-Treiber zul\u00e4ssig, die \u00fcber Windows Update kommen. Die Details<\/a> lassen sich bei den Kollegen nachlesen. <\/p>\n<\/blockquote>\n

\u00c4hnliche Artikel: <\/strong>
Windows 10 Version 1809-2004: Treiberinstallation per Store kaputt<\/a>
Problem: Treibersignierung f\u00fcr Windows 7 und 10<\/a>
Windows 10: \u00c4nderungen bei Treiber-Updates ab 5.11.2020<\/a>
Windows 8.1\/10 blockt falsch signierte Treiber<\/a>
Windows 10 bietet alte\/unpassende Intel Treiber-Updates an (Sept. 2020)<\/a>
Windows 10 V2004: Treibersuche im Internet aus Ger\u00e4te-Manager entfernt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft beendet in der ersten H\u00e4lfte des Jahres 2021 die Unterst\u00fctzung f\u00fcr Root-Zertifikate mit Kernel-Mode-Signaturfunktionen im Microsoft Trusted Root Programm. Das f\u00fchrt dazu, dass nicht aktualisierte Treiber unter Windows 10 irgendwann nicht mehr geladen oder installiert werden k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7862,3694],"tags":[24,115,4378],"class_list":["post-241194","post","type-post","status-publish","format-standard","hentry","category-stoerung","category-windows-10","tag-problem","tag-treiber","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/241194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=241194"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/241194\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=241194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=241194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=241194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}