Problémy s instalací systémových ovladačů
ve Windows 10

Popis problému

S příchodem Windows 10 stanovil Microsoft přísnější pravidla pro ověřování vhodnosti ovladačů při instalaci do systému. Bohužel, vzhledem k postupným krokům při zavádění tohoto požadavku, někdy i v nesouladu s publikovanými informacemi, lze pozorovat odlišné chování i u shodných počítačových sestav se stejně (na první pohled) konfigurovaným systémem. Informace uvedené dále si kladou za cíl ve velmi zjednodušené formě objasnit související problematiku, zmínit nejobvyklejší nečekané projevy systému a popsat řešení.

Nejprve pár slov z historie až do vydání Windows 10
(tzn. do Windows 8.1 a Windows Server 2012 R2 včetně)

Ovladače instalované do jádra systému (tzn. kernel mode software) vyžadovaly již od dávných verzí Windows tzv. podepisování. Do instalovaných souborů ovladače (soubory SYS, DLL, atd.) byl vložen certifikát identifikující vydavatele ovladače, resp. identitu podepisujícího. Způsob, jakým se Windows chovaly k nepodepsaným ovladačům, případně podepsaným pouze identitiou vydavatele (tedy ovladačů, které neabsolvovaly WHQL testování), se odlišoval v jednotlivých verzích Windows a také jejich nastavením. Obecně lze říci, že do 64bitových verzí a serverových verzí Windows nebylo možné (případně jen s velkými obtížemi) instalovat nepodepsané ovladače, zatímco 32bitové verze Windows jen znepříjemnily instalaci nepodepsaných ovladačů výstražnými upozorněními.

K významné změně došlo s příchodem Windows 10,

kdy Microsoft rozhodl, že ovladače musejí být podepsány EV certifikátem (tzn. Extended Validation Certificate) a následně spolupodepsány Microsoftem službou Windows Hardware Developer Center Dashboard portal.

Tuto informaci zveřejnil Microsoft v tiskové zprávě již 1. dubna 2015, následně potvrdil 29. srpna 2015 při vydání Windows 10 (verze 10240) a stanovil přechodnou dobou 90 dní. Od konce října již nemělo být možné podepisovat ovladače dosavadním způsobem (v dalším textu uváděno jako "postaru") a současně ovladače podepsané dosavadním způsobem do konce října 2015 měly mít stanovenu omezenou dobu, po kterou je bude možné do Windows 10 instalovat.

With the release of Windows 10 on July 29 2015, Microsoft has taken steps to ensure this is the most secure Windows platform it has launched to date. For driver developers this means all new Kernel and User Mode driver submission requirements will change 90 days after the Windows 10 launch.
On October 27, 2015, all new Kernel and User Mode driver submissions will need to be made via the Windows Hardware Developer Center Dashboard portal and signed by an Extended Validation (EV) code signing certificate. The EV code signing certificate requirement is to ensure that publisher private signing keys are stored securely on hardware tokens and organizations undergo a comprehensive and thorough authentication process. These EV code signing features increase the integrity of software assets that run on Windows 10 Operating System.

Nicméně k tomuto striktnímu omezení ze strany Microsoftu na konci října nedošlo a ani následně po vydání první velké aktualizace v listopadu 2015 (Threshold 2, verze 1511); Windows 10 akceptovaly ovladače podepsané "postaru" až do července 2016.

Až s příchodem druhé velké aktualizace v červenci 2016 (Windows 10 Anniversary update; Redstone 1, verze 1607) definoval Microsoft nová pravidla takto:

On 2016-07-26, Microsoft announced that this rule will only be enforced on Windows 10 systems that were freshly installed at build 1607 or later, with Secure Boot on.

Nutnost přísnějšího způsobu podepisování byla tedy zavedena až pro systémy, které byly instalovány z Windows 10 verze 1607 a to současně za podmínky aktivního režimu Secure Boot. Systémy prvotně instalované z dřívějších verzí Windows, a to i když jsou pravidelně aktualizovány, přísnější podepisování nevyžadují. Právě tak lze v počítačích s Windows 10 prvotně instalovaných z verze 1607 a novější lze nutnost přísnějšího podepisování deaktivovat vypnutím režimu Secure Boot.
Pro přesnost - tento stav platí dnes (říjen 2017) a nelze se spolehnout, že nedojde ke změně v rámci nějaké další aktualizace.

Co tedy stav popsaný v předešlých odstavcích přináší:

• Můžete provozovat dva stejné počítače s pravidelně aktualizovanými Windows 10, na pohled nebude zřejmý žádný rozdíl, a přesto se budou využívat odlišná pravidla pro ověřování vhodnosti ovladačů.
  Bohužel, to je chování, se kterým se musíme smířit.
• Můžete používat počítač s Windows 10 instalovanými z verze 1607 a vypnutým režimem Secure Boot, v němž můžete nainstalovat a úspěšně používat zařízení s "postaru" podepsaným ovladačem.
  Po zapnutí režimu Secure Boot jsou však taková doposud fungující zařízení deaktivována a ve správci zařízení budou označena jako nesprávně nainstalovaná. Nezbývá než ve správci zařízení aktualizovat ovladač a pokud se to nepodaří, zařízení ve správci odebrat, znovu detekovat změny hardware a nainstalovat nový ovladač.

Jaký je stav ovladačů TEDIA (říjen 2017)

Všechny ovladače TEDIA jsou od října 2017 dostupné ve verzi vyhovující novým požadavkům Windows 10.

Jelikož po spolupodepsání Microsoftem nejsou ovladače použitelné pro Windows 8.1 a starší, jsou souběžně dostupné tytéž ovladače podepsané "postaru". Obě verze jsou distribuovány společně v samostatných adresářích v rámci jednoho balíku. Je vhodné upřesnit, že ovladače jsou s výjimkou vložených podpisů identické.

Za zmínku stojí ještě Windows Server 2016 - u tohoto operačního systému došlo k ještě výraznějšímu omezení než u Windows 10 a instalovat lze pouze ovladače, které prošly komplikovaným a nákladným WHQL testováním. Vzhledem k zaměření výrobků TEDIA je jejich využití se serverovými systémy málo pravděpodobné a podpora pro Windows Server 2016 není dostupná.

Na závěr pár obrázků pro doplnění

Výstraha, kterou Windows vyjadřují "nespokojenost" s nepodepsaným ovladačem. Stejná výstraha je zobrazena i v případě, kdy nebyl podpis rozpoznán (např. pokud nejsou Windows 7 dlouhodobě aktualizovány).

 

Příklad souboru ovladače s podpisy vydavatele (v Průzkumníku Windows kliknout pravým tlačítkem na soubor a zvolit Vlastnosti => Digitální podpisy).

 

Příklad souboru ovladače s podpisy vydavatele (jako v předešlém případě) a navíc spolupodepsaný Microsoftem (v Průzkumníku Windows kliknout pravým tlačítkem na soubor a zvolit Vlastnosti => Digitální podpisy).

 

Windows 10, Správce zařízení - deaktivované zařízení po zapnutí Secure Boot (tzn. plně funkční před zapnutím Secure Boot).
Deaktivované zařízení (vyznačeno červeně, viz detailní obrázek) zůstává ve stejném umístění, jako bylo před zapnutím Secure Boot (v případě první instalace zařízení je umístěno ve žlutě zvýrazněné sekci "Další zařízení"), odmítnutí již nainstalovaného ovladače je znázorněno vykřičníkem ve žlutém trojúhelníku.

V případě vypnutí Secure Boot bude zařízení znovu aktivní.
Lepším řešením je však nainstalovat nový ovladač kliknutím pravým tlačítkem na deaktivované zařízení a zvolit "Aktualizovat software ovladače".
Pokud se aktualizace nepodaří (ano, i v tomto případě se lze setkat s oznámením, že nejlepší ovladač je již v počítači instalován), je nutné zařízení odstranit kliknutím pravým tlačítkem volbou "Odinstalovat" a poté volbami "Vyhledat změny hardwaru" a "Aktualizovat software ovladače" ovladač standardně nainstalovat.