[科普]浅析WINDOWS 11的新签名政策

Tesla.Angela

在5年前，我写了一篇《[科普]浅析WINDOWS 10的新签名政策》。在WINDOWS 11推出之后，WINDOWS的签名政策又出现了一些变化。

WINDOWS 11内置了一个证书黑名单，拉黑了一些知名度非常高的“黑证书”，而且这个黑名单可以通过补丁的方式进行更新。如果你给驱动添加了“黑签名”，而且它正好在系统内置的黑名单里，那么你的驱动就无法加载。请注意，这个机制和DSE无关，即使你使用WINDBG关闭了DSE，驱动也是无法加载的。StartService返回的错误码转换为文字的意思是“一个证书已被它的颁发者明确地撤销”（我的两台电脑分别安装了英语和德语的系统，我看到的文字是"A certificate was explicitly revoked by its issuer."和"Ein Zertifikat wurde explizit durch den Aussteller gesperrt."。如果您有中文系统，请回帖告诉我系统原版的中文提示是什么）。

目前尚未清楚这个黑名单里有哪些证书。经我个人测试，确认它至少拉黑了“HT SRL”和“上海域联软件技术有限公司”这两个最广为人知的“黑证书”。

最廉价的解决方案：

游客，如果您要查看本帖隐藏内容请回复

Krueger

查看解决方案

橄榄绿

前来学习

tangptr@126.com

这个签名也被拉黑了

qq892640791

这就是说黑签名的以后在WIN11上不能用了？而且微软随时能增加黑名单？自签名证书呢

lpmjknj

学习一下

qwqdanchun

学习一下

蜜蜂

前来学习，

kanren

了解一下

antiwar3

看看方案

crazyshit

查看解决方案

Ccy

查看解决方法

oopww

偶尔来看看

如梦而醉

看看是啥内容

GGbbe

妈耶，把黑证书全拉黑了吗。

bytecream

谢谢老大

chenyuan

那有没有白名单哈哈哈

Cloutain

湖南长沙那个黑证书必然被拉黑了。。。

清寜

查看解决方案

揰掵佲

说实话,有点厉害了

asuralove

好像win10 也这么提示

lovemiaomiao

我感觉这个问题可以忽略 过期证书这种东西满大街都是 而且证书也很好搞到 再加上要让微软针对拉黑那规模得多大？？？？所以微软这种设定不用紧张,你的规模不大根本不可能被拉黑,我手里的过期证书有二十多种 拉黑了就换个 而且改时间戳签的过期签名驱动也是可以加载的

xiaonian233

传出来的那些基本上都拉黑了，之前测了四五个都是这个结果，换回win10就好了

cghost

向大佬写学习

zsj9527

查看解决方案

Tesla.Angela

xiaonian233 发表于 2021-12-27 15:33
传出来的那些基本上都拉黑了，之前测了四五个都是这个结果，换回win10就好了 ...

其实这个机制最早就是出现在WIN10上的，我在标题里写WIN11主要是为了简洁和引人注目。

Henry

学习一下

Tesla.Angela

lovemiaomiao 发表于 2021-12-24 06:43
我感觉这个问题可以忽略 过期证书这种东西满大街都是 而且证书也很好搞到 再加上要让微软针对拉黑那规模得 ...

只需要把证书的指纹拉黑即可，耗费几十个字节的空间而已。

eroy

学习下老大最新东西

caizhe666

学习新的东西

ttff

这玩意感觉有可能可以反过来利用禁止驱动加载

wpig

查看解决方案