数字签名允许要安装基于 Windows 的软件的管理员和最终用户了解该软件包是否由合法的发布者提供。
在 Windows Vista 和 Windows Server 2008 中,新功能利用代码签名技术,并且操作系统对安全具有新的要求,从而增强了某几种代码的数字签名的使用。
以下数字签名要求适用于 Windows Vista 和 Windows Server 2008:
- 安装未签名的内核模式组件需要管理员权限。这包括设备驱动程序、筛选器驱动程序和服务等。
这适用于所有开发阶段,包括发布前产品编码和测试等非产品编码阶段。
- x64 版本的 Windows Vista 和 Windows Server 2008 需要内核模式代码签名 (KMCS) 才能加载内核模式软件。
- 必须对Windows Vista Protected Media Path (PMP) 中的组件进行 PMP 签名,所有其他内核模式组件必须由 Microsoft 进行 Windows 徽标计划(以前称为“WHQL 签名”)或内核模式代码签名,以便确保对高级内容的访问。
- 对于x86 以及 x64 版本的 Windows Vista 和 Windows Server 2008 来说,在引导阶段加载的驱动程序二进制文件必须包含嵌入的签名,如本站点的“内核模式代码签名演练”所述。
- 通过Internet Explorer 下载的安装包和自解压可执行文件必须进行数字签名,以便运行和安装。
- 硬件相关的驱动程序和其他为 Windows 徽标计划提交的内核组件均要求数字签名。
- 组件必须由Windows“信任”的证书进行签名,如本站点中的白皮书所述。