image

Nieuwe Windows 10-installatie vereist gesigneerde kerneldriver

maandag 1 augustus 2016, 16:15 door Redactie, 22 reacties

Vanaf de nieuwe Windows 10-versie die morgen wordt gelanceerd zullen nieuwe kernelmodedrivers niet meer worden geladen, tenzij ze door Microsoft zijn gesigneerd. Het gaat dan bijvoorbeeld om stuurprogramma's voor videokaarten en andere hardware. Vorig jaar liet Microsoft weten dat het bij de lancering van Windows 10 deze maatregel al wilde doorvoeren. Dit bleek echter onhaalbaar.

Morgen, bij de lancering van de Windows 10 Anniversary Update, herkenbaar aan het versienummer 1607, zullen nieuwe kernelmodedrivers die niet aan de voorwaarden voldaan niet meer worden geladen. De maatregel geldt niet voor computers die naar Windows 10 upgraden. Ook zal het niet gelden voor computers waar Secure Boot staat uitgeschakeld. Verder zullen drivers die zijn gesigneerd met "cross-signed" certificaten die voor 29 juli 2015 zijn uitgegeven nog steeds worden toegestaan.

Om te voorkomen dat systemen straks niet meer kunnen opstarten zullen bootdrivers niet worden geblokkeerd, maar zullen ze door de Program Compatibility Assistant worden verwijderd. Bootdrivers zijn stuurprogramma's die bij het opstarten van Windows worden geladen. Toekomstige Windowsversies zullen deze bootdrivers wel blokkeren. "Samengevat, verse installaties van Windows versie 1607 waar Secure Boot is ingeschakeld moeten door Microsoft gesigneerde drivers gebruiken of drivers die zijn gesigneerd met certificaten die voor 29 juli 2015 zijn uitgegeven", zegt Microsofts Joshua Baxter. Critici stellen dat door deze maatregel de software die gebruikers op hun machines kunnen uitvoeren steeds beperkter wordt.

Reacties (22)
01-08-2016, 16:33 door Anoniem
Ben benieuwd wat de (veelal zeer enthousiaste) Windows 10 gebruikers /gratis upgraders binnenkort nog meer te wachten staat.
Compleet niet meer werkende systemen? Of alleen maar geen 'policies' meer kunnen gebruiken in Win10 prof? Of wat nog meer?

Zelf heb ik om reden dat ik het niet vertrouwde alleen een (oudere) testPC naar Win10 geupgrade, niet mijn andere PC's (Win7) vooor dagelijks gebruik. Kan ik zien wat ervan komt. En nee ik heb ze ook niet even geuograde en weer teruggezet, had e.e.a. gelezen over problemen bij terugzetten doordat de Bios overschreven wordt naar UEFI oid.

Ik betaal liever naderhand een versie van Win10 wanneer alle problemen duidelijk zijn, dan nu in het diepe vallen. Daarvoor heb ik nog ruim 3 jaar de tijd. En voor de Linux promotors die hierop omgetwijfeld weer gaan reageren: geen Linux voor mij, heb ik geprobeerd maar dat haalt het (vooralsnog) niet bij Win7.

.
01-08-2016, 16:47 door Anoniem
"Critici stellen dat door deze maatregel de software die gebruikers op hun machines kunnen uitvoeren steeds beperkter wordt. "

Voor de gemiddelde consument is dit totaal niet erg... Als ik zie waar die allemaal op klikken...
Maar professionals kan ik begrijpen dat die kantekeningen bij dit soort oplossingen zetten, maar goed...

De meeste mensen die klagen op (dit soort) forums vertegenwoordigen niet de gemiddelde consument :-)
01-08-2016, 17:01 door Anoniem
Mooie/verstandige beslissing.
Op korte termijn nog geen waterdichte* oplossing, maar door dit nu door te voeren voor nieuwe/schone installaties, zullen PCs (met Windows erop) steeds beter beschermd zijn tegen kernel-mode attacks


*: Uiteraard is niets waterdicht, maar ze zijn dan wel erg ver hiermee
01-08-2016, 18:02 door Anoniem
Door Anoniem: Ben benieuwd wat de (veelal zeer enthousiaste) Windows 10 gebruikers /gratis upgraders binnenkort nog meer te wachten staat.
Compleet niet meer werkende systemen? Of alleen maar geen 'policies' meer kunnen gebruiken in Win10 prof? Of wat nog meer?
Volgens mij als je gewoon standaard hardware hebt, valt dit allemaal wel mee.
Gebruikt je onsupported en untested hardware, dan kan je inderdaad een probleem hebben. Maar daarvoor moet je eigenlijk gewoon contact met de leverancier opnemen.


Zelf heb ik om reden dat ik het niet vertrouwde alleen een (oudere) testPC naar Win10 geupgrade, niet mijn andere PC's (Win7) vooor dagelijks gebruik. Kan ik zien wat ervan komt. En nee ik heb ze ook niet even geuograde en weer teruggezet, had e.e.a. gelezen over problemen bij terugzetten doordat de Bios overschreven wordt naar UEFI oid.
Volgens mij grote onzin......
Nog nooit iets over gelezen. En ik heb ook al heel wat upgrades gedaan. Supported an unsupported hardware,
01-08-2016, 20:36 door johanw
Door Anoniem: Mooie/verstandige beslissing.
Op korte termijn nog geen waterdichte* oplossing, maar door dit nu door te voeren voor nieuwe/schone installaties, zullen PCs (met Windows erop) steeds beter beschermd zijn tegen kernel-mode attacks
Onder de smoes van beveiliging maakt men het moeilijker om DRM te omzeilen. Het is immers niet jouw PC maar die van MS. Beveiliging als smoes wordt overal misbruikt, niet alleen als het om terrorisme, kinderporno of belastingontduiking gaat.
02-08-2016, 01:26 door Anoniem
johanw +1
Ja er wordt namelijk steeds meer uit handen genomen bij de eindgebruiker. Wel zo makkelijk voor hen, maar jammer voor de nerds en tweakers.

Het OS voorafgaand aan Win10 wordt nog wel zo lang ondersteund, dat de meeste machines de uitfasering van 7 en 8.1 wel niet zullen overleven. Ik lig er niet echt van wakker en u toch ook niet, zeker?

Dus dan ben je gelijk aan een nieuwe machine met Win10 erop toe. Ik vermoed dat de achterliggende gedachte het wereldwijd gelijktrekken van een operationeel systeem behelst. Een beetje Google na-apen. Waarom? Een "inkoppertje" denk ik.
02-08-2016, 07:29 door Anoniem
Door Anoniem:
Door Anoniem: Ben benieuwd wat de (veelal zeer enthousiaste) Windows 10 gebruikers /gratis upgraders binnenkort nog meer te wachten staat.
Compleet niet meer werkende systemen? Of alleen maar geen 'policies' meer kunnen gebruiken in Win10 prof? Of wat nog meer?
Volgens mij als je gewoon standaard hardware hebt, valt dit allemaal wel mee.
Gebruikt je onsupported en untested hardware, dan kan je inderdaad een probleem hebben. Maar daarvoor moet je eigenlijk gewoon contact met de leverancier opnemen.

Dat klopt niet, er is nog veel hardware waar fabrikanten niet meer aan verdienen en waar ze dus geen nieuwe, gesigneerde drivers voor gaan uitbrengen.

Volgens mij grote onzin......
Nog nooit iets over gelezen. En ik heb ook al heel wat upgrades gedaan. Supported an unsupported hardware,

Terugkeren naar w7 werkte bij mij ook prima. Daarna opnieuw upgraden ook.
02-08-2016, 08:06 door karma4
Nieuw? Beslist niet, het speelt al sinds Vista (2007) https://www.digicert.com/code-signing/kernel-mode-certificates.htm Daarmee is het verhaal van Baxter logisch, ze veranderen de eis wie mag signing niet het uitgangspunt van signing zelf.
Daarmee is de kritiek (james) de link van het artikel niet on topic.

Elk OS dient op root (kernel) niveau zeer strikt te zijn wat voor code er draait. Als je dat open zet ben je niet security bewust bezig. Het OS neem je af van een leverancier en die is er verantwoordelijk voor om dat goed te doen. Niet degene achter het toetsenbord van een stukje ijzer.

Het is niet veel anders, als:
- wat Apple doet. Zo gesloten en dictatoriaal als wat. (Full control on everybody anything anywhere)
- Waar Google met Android mee bezig is. Iets als open voorstellen maar zelf alle controle houden.
- De Linux community. Een Distro met allerlei eisen zonder keus. Zelf met sponsor als Intel rond video drivers zag ik het nodige van voorbij komen van unsupported / wordt aan gewerkt.

Als je de energie nu zou richten op het verbeteren van je eigen omgeving / voorkeur is dat veel effectiever dan je negatief uitlaten over wat jij als een concurrent ziet.
02-08-2016, 09:09 door [Account Verwijderd]
[Verwijderd]
02-08-2016, 09:21 door [Account Verwijderd]
[Verwijderd]
02-08-2016, 09:25 door Anoniem
Dus MS gaat bepalen welke hardware ik wel en welke ik niet mag gebruiken. Ik gok zo dat de fabrikanten hiervoor moeten betalen. De ondersteuning is al niet zo goed voor oudere hardware maar dit gaat dus nog slechter worden. Waarom zou een fabrikant nog betalen voor een videokaart die al 5 jaar niet meer verkocht wordt.
02-08-2016, 10:50 door Anoniem
Door Anoniem:

Ik betaal liever naderhand een versie van Win10 wanneer alle problemen duidelijk zijn, dan nu in het diepe vallen. Daarvoor heb ik nog ruim 3 jaar de tijd. En voor de Linux promotors die hierop omgetwijfeld weer gaan reageren: geen Linux voor mij, heb ik geprobeerd maar dat haalt het (vooralsnog) niet bij Win7.

.

Ben wel benieuwd welke onderdelen Linux niet haalt bij Win7 nadat je het uitgeprobeerd hebt ?
02-08-2016, 11:38 door Anoniem
Door Muria:
Door karma4:...
Het resultaat is dat je je vrijwel niet bezig hoeft te houden met je computer en updates.
Idem bij Windows...... De standaard updates zijn allemaal goed geregeld. Voor de meeste grote software producten idem.
Zeker op videokaart drivers loopt het toch nog altijd flink achter.

In plaats van allerlei forums af te struinen om het zoveelste Windows update probleem aan te pakken, reboots, etc.
Tenzij het toch niet helemaal werkt. Dan moet je in eens flink gaan zoeken.
02-08-2016, 13:52 door Anoniem
Door Muria:
Door karma4: Nieuw? Beslist niet, het speelt al sinds Vista (2007) https://www.digicert.com/code-signing/kernel-mode-certificates.htm Daarmee is het verhaal van Baxter logisch, ze veranderen de eis wie mag signing niet het uitgangspunt van signing zelf.

Wat staat er nou letterlijk in het artikel:

Door redactie:Vanaf de nieuwe Windows 10-versie die morgen wordt gelanceerd zullen nieuwe kernelmodedrivers niet meer worden geladen, tenzij ze door Microsoft zijn gesigneerd

Dus: tenzij ze door Microsoft zijn gesigneerd!

Nogmaals: tenzij ze door Microsoft zijn gesigneerd!

Voor alle duidelijkheid: tenzij ze door Microsoft zijn gesigneerd!

En wat wil je zeggen met al die uitroeptekens?

De code signing aanpak voor Windows is in 2015 aangescherpt: Driver Signing changes in Windows 10
https://blogs.msdn.microsoft.com/windows_hardware_certification/2015/04/01/driver-signing-changes-in-windows-10/

Belangrijkste verandering: men kan niet meer met een 3-dubbeltjes certificaat doen alsof men een legitieme software-producent is. Je hebt nu een Extended Validation certificaat nodig. Duurder, lastiger, maar dan heb je ook wat.

Daarmee signed de developer (de developer!) (de developer!!) *zelf* zijn eigen code. Daarna submit hij de gesignde driver op de hardware certification portal van Microsoft, en die verifieert de test-resultaten en signed de driver *nogmaals* met een Microsoft certificaat.

Zie https://msdn.microsoft.com/en-us/library/windows/hardware/br230779(v=vs.85).aspx voor alle details.

Mooie stap vooruit in de wapenwedloop met malware-makers.
02-08-2016, 14:11 door Anoniem
Door Anoniem: Dus MS gaat bepalen welke hardware ik wel en welke ik niet mag gebruiken.
Nee hoor, dat bepalen de fabrikanten. Microsoft ziet de code niet en heeft geen idee wat een driver wel of niet doet. Het enige dat met driver signing wordt bereikt is dat als er iets is met een bepaalde driver, de maker van die driver aan te wijzen is.

Ik gok zo dat de fabrikanten hiervoor moeten betalen.
De fabrikant moet een EV-certificaat kopen. Duurder dan de oude simpele certs, maar een EV cert betekent dan ook iets.
Verder hoeven ze aan Microsoft niks te betalen.

De ondersteuning is al niet zo goed voor oudere hardware maar dit gaat dus nog slechter worden.
Waarom zou een fabrikant nog betalen voor een videokaart die al 5 jaar niet meer verkocht wordt.
Terechte vraag, voor alle platformen, en die moet je vooral aan de hardware fabrikant stellen. De lifecycle van hardware is heel erg kort. Dat is niet leuk voor de eindgebruikers, maar simpelweg een gevolg van het (hardware) verdienmodel.

Details over code signing op Windows staan hier: https://msdn.microsoft.com/en-us/library/windows/hardware/br230779(v=vs.85).aspx
02-08-2016, 14:21 door karma4 - Bijgewerkt: 03-08-2016, 19:22
Muria in het artikel staat ook hoe het verificatieproces verloopt.
Het is niet anders dan voorheen. Het moet aan bepaalde compatibiliteitseisen voldoen. Dat lijkt me heel gezond. Tevens willen ze Black hackers buiten de deur houden. Daar mag een leverancier best wat over zeggen.
Je wilt toch niet opgezadeld worden met de ellende van een ander. Voor jou lijkt het heel normaal dat je andermans zaken mag kapotmaken en dan de ander de schuld er van geven.
Ben je het geval lenovo vergeten?
02-08-2016, 16:39 door [Account Verwijderd]
[Verwijderd]
02-08-2016, 16:41 door [Account Verwijderd] - Bijgewerkt: 02-08-2016, 16:41
[Verwijderd]
02-08-2016, 17:21 door Anoniem

Helemaal met je eens maar het ging er juist om (en dat stelt het oorpronkelijke artikel van redactie al) dat Microsoft op weg is alleen drivers te accepteren indien die door Microsoft zelf zijn gesigneerd.

Dat klopt, drivers moeten *ook* door Microsoft zijn gesigned (gebeurt vanzelf, als een driver wordt gesubmit op de portal). Dat is de manier om later vast te kunnen stellen dat een driver echt netjes via het hardware certificatie proces is gegaan.
02-08-2016, 20:31 door karma4 - Bijgewerkt: 03-08-2016, 19:21
Door Muria:
Black hackers buiten de deur houden.
Je bent ook nog racist!
Ik ben niet de verzinner van de aanduidingen black hat hacker vs white hat.
Voor dat gebruik ook waarneembaar in westerns mag je in het vrije liberale VS zijn, of bij de christelijke opvoeding. Waarm het goede met wit en foute met zwart geassocieerd moet worden ontgaat me ook gaan we voor groene engelen en gespikkelde rood/blauwe duiveltjes.[/quote]
Door karma4:Ben je het geval lenovo vergeten?
De root cause bij het geval was de OEM chantage strategie van Microsoft, dat hadden we toch allang uitgesproken?
Ik weet niet waar je het over hebt / wat je mij probeert aan te wrijven.[/quote]Het was een typisch voorbeeld waar lenovo fout zat http://www.techzine.nl/blogs/redactioneel/878/lenovo-beweert-gebruiker-service-te-verlenen-met-superfish-adware.html Maar zoals je al aangeeft ook als is een ander echt schuldig je moet en zal het zo zien te draaien dat het toch aan Microsoft ligt. Heel eenzijdig, je bent er ergens flink beschadigd. .
03-08-2016, 10:29 door Anoniem
Door Anoniem:
Door Anoniem: Dus MS gaat bepalen welke hardware ik wel en welke ik niet mag gebruiken.
Nee hoor, dat bepalen de fabrikanten. Microsoft ziet de code niet en heeft geen idee wat een driver wel of niet doet. Het enige dat met driver signing wordt bereikt is dat als er iets is met een bepaalde driver, de maker van die driver aan te wijzen is.

Dat is zo, maar je moet je wel realiseren dat de reden dat men dit wil NIET is dat men de maker wil gaan zoeken als
er bugs in zitten, maar dat de enige reden is dat men zeker wil stellen dat er alleen videodrivers in het systeem geinstalleerd
worden die geen backdoor bieden voor DRM omzeiling.
Als DAT toch het geval is willen ze de mogelijkheid hebben om de maker te zoeken en de driver te kunnen disablen.
Allerlei mooie verhalen over bugs en veiligheid daar gaat het echt niet om, of je moet bedoelen de veiligheid van de media
aanbieders die DRM willen gebruiken.
03-08-2016, 12:00 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.