Windows驱动程序文件中是否需要嵌入签名

在Windows Vista和更高版本的Windows的64位版本中，内核模式代码签名要求表明，已发布的内核模式启动驱动程序必须将嵌入式软件Publisher证书 (SPC) 签名。不是启动驱动程序驱动程序的驱动程序不需要嵌入签名。

注：Windows10桌面版 (Home、Pro、Enterprise和教育) 和Windows Server 2016的内核模式驱动程序必须由Windows硬件开发人员中心仪表板签名，这需要EV代码签名证书。

由于不需要系统加载程序在系统启动时找到驱动程序的编录文件 ，因此在系统启动期间嵌入的签名会节省大量时间。典型的计算机在目录根存储中可能有许多不同的目录文件。定位正确的目录文件以验证驱动程序文件的指纹可能需要花费大量时间。

除了由内核模式代码签名策略强制执行的加载时间签名要求外，即插即用 (PnP) 设备还会强制执行安装时签名要求。为了符合Windows的Windows Vista和更高版本的pnp设备安装签名要求，pnp设备的驱动程序包必须具有签名的目录文件。

嵌入的签名不会干扰目录文件的签名，因为目录文件中包含的指纹和嵌入签名中的指纹可以选择性地排除驱动程序文件的签名部分。驱动程序文件通过使用SignTool工具进行签名。