默认情况下,Windows 不会加载测试签名的内核模式驱动程序。 若要启用加载测试签名的驱动程序,请使用 BCDEdit.exe 启用或禁用 TESTSIGNING 启动配置选项。 必须具有管理员权限才能启用此选项。
注释
内核模式代码签名策略要求所有内核模式代码都具有在 64 位版本的 Windows 上加载的数字签名。 但是,在大多数情况下,可以在 32 位版本的 Windows 上安装并加载未签名的驱动程序。 有关详细信息,请参阅 驱动程序签名策略。
所需的管理员权限
若要使用 BCDEdit,你必须是系统上的 Administrators 组的成员,并从提升的命令提示符运行该命令。 若要打开提升的命令提示符窗口,请在 Windows 任务栏中的搜索框中键入 cmd ,在搜索结果中右键单击 命令提示符 ,然后选择“ 以管理员身份运行”。
警告
使用 BCDEdit 修改启动配置数据需要管理权限。 使用 BCDEdit /set 更改某些引导条目选项可能会使计算机无法运行。 或者,使用系统配置实用工具(MSConfig.exe)更改启动设置。
启用或禁用使用测试签名代码
运行 BCDEdit 命令行以启用或禁用测试签名代码的加载。 若要使更改生效,无论是启用或禁用该选项,都必须在更改配置后重新启动计算机。
若要启用测试签名代码,请使用以下 BCDEdit 命令行:
:: If this command results in "The value is protected by Secure Boot policy and cannot be modified or deleted"
:: Then reboot the PC, go into BIOS settings, and disable Secure Boot. BitLocker may also affect your ability to modify this setting.
Bcdedit.exe -set TESTSIGNING ON
注释
从 Windows 10 版本 1507 开始,如果已启用内存完整性/HVCI(虚拟机监控程序代码完整性),则必须使用任何自创建的测试证书对二进制文件进行测试签名。不支持无符号二进制文件。
若要禁用测试签名代码的使用,请使用以下 BCDEdit 命令行:
Bcdedit.exe -set TESTSIGNING OFF
下图显示了使用 BCDEdit 命令行启用测试签名的结果。
启用加载测试签名代码时的 Windows 行为
启用测试签名代码时,Windows 会在桌面右下角显示带有文本“测试模式”的水印,提醒用户系统已启用测试签名。 任何证书都可以对作系统和内核加载的驱动程序进行签名。 证书验证不需要来自受信任的根证书颁发机构。 但是,每个驱动程序映像文件必须具有数字签名。