La gestió avançada de certificats i firmes de drivers a Windows s'ha tornat un tema crític tant per a administradors de sistemes com per a desenvolupadors i usuaris avançats. Des que Microsoft va endurir les polítiques de signatura a Windows de 64 bits, qualsevol controlador que funcioni en mode kernel ha d'anar signat correctament, i en molts casos, a més, passar pels sistemes de validació de Microsoft. Si a això hi sumem canvis com l'adopció obligatòria de SHA‑2 o la signatura per atestació, és fàcil que la cosa es faci pujada si no es té una bona visió global.
A tot això se li afegeix que, en entorns reals, cal bregar amb drivers antics, dispositius sense suport actualitzat, targetes criptogràfiques, certificats a smartcards, eines de tercers, teletreball, equips sense connexió a Internet i fins i tot sistemes encara en producció amb Windows 7 o Windows XP. En aquest context, entendre com funcionen les firmes, quins tipus de certificats es fan servir, com es gestionen al Panell de maquinari i quines opcions tenim quan alguna cosa falla és fonamental per no perdre hores amb errors críptics ni comprometre la seguretat del sistema.
Què és la signatura de controladors a Windows i per què és tan important
A Windows, un driver signat incorpora una signatura digital associada al paquet del controlador (binaris, INF, catàlegs, etc.). Aquesta firma serveix per a dues coses principals: verificar que el paquet no ha estat modificat des que l'editor el va publicar (integritat) i confirmar la identitat del proveïdor que el signa (autenticitat). En sistemes de 64 bits des de Windows Vista, la regla bàsica és clara: els controladors en mode kernel han d'estar signats o no es carreguen.
Quan instal·lem un dispositiu, el propi sistema utilitza signatures digitals i certificats per comprovar que aquest paquet de controlador prové d'un publicador fiable i que no s'ha corromput pel camí. Si alguna cosa no quadra (signatura invàlida, certificat caducat, algoritme no admès, catàleg modificat…), Windows llança advertiments, bloqueja la instal·lació o directament impedeix carregar el driver en arrencar.
A més, des de les primeres versions de Windows 10, Microsoft ha anat obligant que els drivers passin pel seu canal de signatura mitjançant el Centre de desenvolupament de maquinari i que es facin servir algoritmes SHA‑2. Això no només impacta als binaris signats per Microsoft, sinó també en com s'accepten o rebutgen controladors de tercers que estiguin signats amb SHA1 o amb certificats que ja no es consideren segurs.
Canvis a la signatura de drivers: de SHA1 a SHA2 i problemes de compatibilitat
Un dels punts que més mals de cap ha generat és la transició de SHA1 a SHA2 a la signatura de controladors. A partir de Windows 10 versió 1507, tots els controladors signats pel Centre de maquinari van amb SHA-2. A més, certs binaris en mode kernel que incorporen firmes duals (SHA1 i SHA2) de proveïdors externs poden donar problemes en sistemes anteriors a Windows 10, o fins i tot provocar bloquejos a Windows 10 i versions posteriors si no tenen instal·lades determinades actualitzacions.
En concret, Microsoft va documentar casos en què drivers signats i incrustats amb certificats duals no es carregaven correctament o podien ocasionar pantalles blaves en sistemes sense pegats crítics. Per evitar-ho, es va recomanar instal·lar actualitzacions com la KB 3081436, on a més es publicaven els hashes SHA dels fitxers afectats, permetent verificar si el sistema estava usant binaris problemàtics.
Aquest escenari mixt ha fet que, en desplegar drivers en entorns amb versions de Windows variades, sigui imprescindible revisar els requisits de signatura per versió del sistema operatiu i assegurar-se que la combinació d'algorisme de hash, tipus de certificat i mètode de signatura sigui compatible amb cada plataforma objectiu.
Rol de l'administrador al Centre de partners i gestió de certificats de drivers
Quan parlem de desenvolupadors de maquinari i empreses que distribueixen drivers, el paper del administrador del Centre de partners (antic Centre de desenvolupadors de maquinari) és clau. Aquesta persona és l'encarregada de gestionar els certificats de signatura de codi que es fan servir per signar controladors i fer enviaments perquè Microsoft els signi o validi.
Des del panell de maquinari del Centre de partners, l'administrador pot afegir, renovar i revocar certificats de signatura. Per fer-ho, inicia sessió, accedeix a la configuració del compte o del desenvolupador i entra a l'apartat “Administrar certificats”. Des d'aquí és possible afegir nous certificats, descarregar els fitxers que cal signar (com el clàssic Signablefile.bin) i pujar de nou els resultats signats.
El flux típic d'alta d'un certificat passa per descarregar el fitxer binari que facilita Microsoft, signar-ho amb SignTool usant /fd sha256 i una marca de temps SHA‑2 adequada, i pujar el fitxer resultant. Windows Hardware Dev Center validarà que el certificat és de l'empresa i quedarà associat al compte per a futures firmes de paquets de drivers, ja sigui mitjançant atestació oa través dels processos estàndard de certificació.
Obtenció i renovació de certificats EV per signar drivers
Per signar controladors a nivell professional, especialment quan es requereix signatura d'atestació o es vol publicar drivers a través del Windows Update, és indispensable comptar amb un certificat EV (Extended Validation) de signatura de codi emès per una entitat de certificació reconeguda. Aquests certificats exigeixen una validació més estricta de l'organització, però a canvi ofereixen més nivell de confiança.
El procés habitual arrenca determinant quin tipus de certificat de signatura de codi es necessita en funció del tipus de controlador, les versions de Windows que es suportaran i els requisits de Microsoft. Si ja teniu un certificat vàlid i no voleu canviar de proveïdor, es pot reutilitzar. Si no, cal adquirir un certificat EV nou després d'un procés de verificació d'identitat de l'empresa per part de la CA.
Un cop aprovada l'emissió, el proveïdor de certificats proporciona les instruccions per recuperar el certificat EV, que sovint s'allotja en un dispositiu maquinari (token USB o HSM) o s'instal·la en un magatzem de certificats protegit. Aquest certificat serà el que s'utilitzi, juntament amb SignTool o eines equivalents, per signar els CAB d'enviament, els catàlegs i, en molts casos, també els binaris del controlador abans de remetre'ls a Microsoft.
Alta, actualització i retirada de certificats al Panell de maquinari
Amb el certificat EV operatiu, el següent pas és mantenir-lo correctament registrat al Panell de maquinari del Centre de partners. Per afegir un certificat nou, l'administrador inicia sessió, accedeix a “Configuració del compte” o “Configuració del desenvolupador” i entra a “Administrar certificats”. Des d'allà podeu seleccionar “Afegeix un nou certificat” i seguir l'assistent.
Durant el procés, el sistema genera un fitxer Signablefile.bin que cal descarregar i signar amb el nou certificat digital de l'empresa. S'utilitza SignTool amb el paràmetre /fd sha256 i una marca de temps SHA‑2, assegurant així que el certificat no quedi inservible quan caduqui la seva validesa si en algun moment calen validacions temporals.
Un cop signat aquest fitxer, es torna al Centre de partners i es puja des de la mateixa secció. Si tot és correcte, el nou certificat quedarà associat al compte del desenvolupador, llest per ser utilitzat en futurs enviaments de controladors.
Quan un certificat deixa de ser necessari o se sospita que pugui estar compromès, és possible retirar-lo des del propi panell. Només cal localitzar-lo a la llista i fer servir l'opció “Treure” a la columna d'accions. Això no revoca automàticament totes les signatures realitzades amb ell (les signatures ja emeses continuaran sent vàlides en la majoria dels casos), però evita que torni a utilitzar-se en nous enviaments o configuracions.
Signatura per atestació: creació i signatura de CAB per a controladors
La signatura d'atestació és un mecanisme que permet distribuir drivers sense necessitat de passar per tot el procés tradicional de certificació WHQL, mantenint la signatura de Microsoft i el compliment de les regles de càrrega del nucli. Per fer-ho, es prepara un fitxer CAB amb el paquet de controlador i s'envia a través del Centre de partners perquè sigui signat per Microsoft.
Un CAB típic d'enviament conté, com a mínim, el fitxer binari del driver (per exemple, Echo.sys), el INF corresponent (Echo.inf) i els fitxers de símbols PDB (com Echo.pdb) necessaris perquè les eines de Microsoft puguin analitzar bolcats de memòria en cas d'errors. També es poden incloure fitxers de catàleg (.cat) per a comprovacions internes de l'empresa, encara que Microsoft regenerarà els seus propis catàlegs durant el procés de signatura.
La creació del CAB sol fer-se amb MakeCab i un fitxer DDF que defineix el nom del fitxer resultant, l'organització en carpetes internes del paquet i els fitxers que cal incloure. Al DDF es defineixen paràmetres com el tipus de compressió, el nom de sortida (per exemple, Echo.cab) i el directori de destinació dins del CAB (normalment una subcarpeta perquè els fitxers no quedin a l'arrel).
Un cop preparat el DDF, s'executa una ordre de l'estil MakeCab /f Echo.ddf, que genera el CAB en un subdirectori (com Disk1). Convé revisar-ne el contingut per assegurar-se que tant els binaris com els INF i PDB s'han inclòs correctament abans de passar al pas següent: la signatura amb el certificat EV.
Signatura EV del CAB i tramesa a través del Centre de partners
Amb el CAB generat, cal signar-ho amb el certificat EV de lorganització. Per fer-ho, es recorre de nou a SignTool, apuntant al magatzem de certificats on es troba l'EV i especificant tant l'algorisme de hash (SHA256) com l'URL del servidor de segellat de temps:
Un exemple clàssic d'ordre seria una cosa com SignTool sign /s MY /n "Nombre de la empresa" /fd sha256 /tr http://... /td sha256 /v Echo.cab. Aquesta signatura garanteix que el paquet complet està protegit i que es pot verificar la seva integritat i procedència abans fins i tot que Microsoft el processi.
A continuació, el CAB signat es puja des del panell del Centre de partners, a l'apartat d'enviaments de nou maquinari. Allí s'assigna un nom al producte, s'indiquen les propietats de signatura desitjades (quins tipus de signatura es volen per al paquet, quines arquitectures i sistemes se suporten) i es desactiven o no les signatures de prova depenent de l'escenari.
Quan l'enviament es completa i el procés de signatura s'ha acabat, el desenvolupador pot descarregar el controlador ja signat per Microsoft des del propi panell. Aquest paquet serà el que s'instal·li als equips dels usuaris, normalment sense advertiments de seguretat, sempre que el sistema confiï en les autoritats de certificació implicades i la cadena de confiança estigui ben configurada.
Verificació de la signatura i EKUs del controlador
Un cop descarregat el driver signat, no està de més comprovar que les signatures i certificats s'han aplicat correctament. Per això, l'eina de referència torna a ser SignTool, amb ordres com SignTool verify Echo.sys per validar la signatura bàsica o paràmetres addicionals com /pa /ph /v /d per obtenir més detalls, inclosos els hashes i la verificació de totes les signatures existents al fitxer.
A més de la verificació per línia d'ordres, es pot fer una comprovació manual dels certificats des de les propietats del fitxer a l'Explorador de Windows. A la pestanya “Firmes digitals” es llisten les signatures aplicades; en seleccionar-ne una i entrar a “Detalls” → “Veure certificat” s'accedeix a tota la informació rellevant de la cadena de confiança.
A la pestanya de detalls del certificat, el camp Ús millorat de claus (EKU) permet confirmar que el certificat s'ha emès amb les extensions adequades per signar codi i drivers. Si les EKU no són correctes, el sistema pot acceptar la signatura a nivell criptogràfic, però continuar rebutjant la càrrega del driver perquè el certificat no està autoritzat per a aquest propòsit específic.
Gestió avançada del cicle de vida dels controladors signats
El procés intern de Microsoft en signar un enviament sol implicar diverses accions encadenades. Primer, es afegeix una signatura incrustada de Microsoft basada en SHA‑2 sobre el binari del controlador. Si el client ja havia inserit les seves pròpies firmes al binari, aquestes poden ser sobreescrites per la signatura de Microsoft si és necessari per garantir la compatibilitat amb les polítiques de càrrega.
Després, el sistema crea i firma un nou fitxer de catàleg (.cat) amb un certificat SHA‑2 de Microsoft, que reemplaça qualsevol catàleg enviat originalment pel desenvolupador. D'aquesta manera, la integritat del paquet complet es controla des del catàleg signat per Microsoft, mentre que els binaris individuals tenen firmes que respecten les regles del mode kernel.
Un cop instal·lat el driver a Windows (ja sigui amb devcon, pnputil, instal·ladors personalitzats o mitjançant Windows Update), si la configuració és correcta no haurien d'aparèixer missatges com “Windows no pot comprovar el publicador d'aquest programari de controlador”. Aquest tipus d'avisos solen indicar problemes amb la cadena de certificats, les firmes incompletes, els catàlegs no registrats o les incompatibilitats amb les polítiques de signatura del sistema.
Controladors a Windows 10 i gestió bàsica de drivers
Des de la perspectiva de l'usuari final o del tècnic de suport, la primera eina per revisar l'estat dels controladors a Windows 10 és el Administrador de dispositius. Aquí es mostra la llista completa de dispositius instal·lats a l'ordinador: els que funcionen correctament apareixen sense símbols d'advertiment, mentre que els que tenen problemes es marquen amb icones grogues o vermelles.
La ruta més ràpida per obrir-lo és fer servir el cercador del menú Inici escrivint “Administrador de dispositius”, o bé recórrer al menú contextual d'inici (Win+X) i seleccionar l'opció corresponent. Des d'aquesta consola es poden actualitzar, deshabilitar, desinstal·lar o inspeccionar les propietats de cada driver, incloses les signatures digitals.
En un escenari ideal, la majoria de dispositius queden coberts per drivers genèrics o específics que el mateix Windows descarrega i instal·la a través de Windows Update. Tot i això, quan el sistema no reconeix un maquinari concret, apareixen “dispositius desconeguts” que requereixen una gestió més artesanal per part de l'usuari o de l'administrador.
Dispositius desconeguts i localització manual del driver adequat
Quan apareix un dispositiu desconegut amb una icona d'advertència, el procediment més eficaç per identificar-lo sol ser consultar el vostre ID de maquinari. Des de les seves propietats, a la pestanya “Detalls”, se selecciona “Id. de hardware” i es copien les cadenes que comencen per PCI, USB o altres prefixos. Aquestes cadenes inclouen lidentificador de fabricant i model del dispositiu.
Amb aquest identificador a la mà, es pot buscar de manera segura el controlador corresponent a les pàgines oficials del fabricant o, en alguns casos, en bases de dades especialitzades de drivers. Un cop descarregat el paquet, si es tracta d'un instal·lador executable només cal seguir l'assistent; si en canvi arriba com una carpeta plena d'arxius INF, SYS i altres, caldrà fer servir l'opció “Buscar programari de controlador a l'equip” indicant la ruta a aquesta carpeta.
Moltes vegades, sobretot en equips més antics o combinacions de maquinari no gaire habituals, aquest tipus de cerca manual és l'única forma viable d'aconseguir que el dispositiu funcioni amb normalitat, sempre tenint cura de descarregar drivers únicament de fonts fiables i no de portals genèrics que empaqueten controladors amb programari no desitjat.
Drivers sense signatura reconeguda, modes especials i opcions de seguretat
Windows 10 inclou una capa addicional de seguretat consistent en exigir que els controladors estiguin signats per Microsoft o per proveïdors de confiança. Això té molt sentit des del punt de vista de la protecció del sistema, però es pot convertir en un obstacle quan cal instal·lar drivers legítims que no estan correctament signats o que no compten amb una signatura reconeguda pel sistema.
En versions anteriors de Windows es podia acceptar manualment la instal·lació d'un controlador no signat mitjançant un simple “Instal·lar de totes maneres”, però a partir de Windows 10 aquesta porta s'ha tancat en gran mesura. Per instal·lar aquests controladors ara cal recórrer a opcions com el inici avançat amb la comprovació de signatura deshabilitada, el mode de prova o canvis a les directives de grup, depenent de l'edició del sistema.
El mètode més conservador consisteix a reiniciar Windows en una manera especial on es desactiva temporalment l'obligatorietat de controladors signats. Això es fa des de la configuració del sistema (Win+I → Actualització i seguretat → Recuperació) usant “Inici avançat” i, després de diversos menús (“Solucionar problemes” → “Opcions avançades” → “Configuració d'inici”), seleccionant l'opció que deshabilita l'ús obligatori de signatures de controladors. D'aquesta manera es pot instal·lar el driver necessari, encara que al reinici següent la protecció tornarà a estar activa.
Desactivar la signatura de drivers: Directives de grup, mode de prova i ordres BCDEdit
En entorns més avançats, com edicions Pro o Enterprise de Windows 10/11, hi ha l'opció d'ajustar el comportament de la signatura de controladors mitjançant directives de grup (Gpedit). Navegant per Configuració d'usuari → Plantilles administratives → Sistema → Instal·lació de controladors hi ha la política “Signatura de codi per a controladors de dispositiu”. Establir-la com a “Deshabilitada” relaxa l'exigència de signatura, encara que convé fer-lo servir amb precaució i tenir clar l'impacte sobre la seguretat.
Una altra possibilitat és el Mode de prova (TESTSIGNING), pensat per a desenvolupadors que estan treballant amb drivers encara en fase de proves. Activant aquesta manera amb bcdedit /set TESTSIGNING ON (i reiniciant) es permet la càrrega de controladors signats amb certificats de prova, normalment emesos per la pròpia organització. Mentre el sistema està en aquest mode, es mostra una marca daigua a lescriptori indicant que sestà treballant en un entorn de proves.
L'opció més dràstica passa per desactivar completament les comprovacions d'integritat dels controladors amb ordres com bcdedit.exe /set nointegritychecks on. Això permet instal·lar i carregar qualsevol driver, estigui o no signat, i encara que pot ser útil en situacions molt concretes (per exemple, en mantenir maquinari crític sense suport modern en un entorn totalment aïllat), suposa un risc de seguretat considerable. Sempre que utilitzeu aquest mètode, és recomanable tornar a activar-lo amb bcdedit.exe /set nointegritychecks off un cop instal·lats els controladors necessaris.
Perills de deshabilitar les proteccions de signatura de controladors
Relaxar o desactivar la política de signatura de drivers obre la porta a amenaces molt difícils de detectar i encara més complicades d'eradicar: rootkits i malware amb forma de controlador. Aquests components es carreguen amb privilegis de SYSTEM i s'executen a molt baix nivell, podent monitoritzar el trànsit, interceptar comunicacions, bloquejar antivirus i amagar-se de gairebé qualsevol eina de seguretat.
Quan un fals controlador d'aquest tipus s'ha instal·lat amb èxit, el sistema pot quedar completament compromès sense que hi hagi símptomes evidents. La detecció per part de les solucions de seguretat tradicionals és molt complicada, ja que el codi maliciós es camufla com un driver legítim. En molts casos, l'única manera fiable de recuperar un equip infectat és formatar i reinstal·lar el sistema des de zero.
Per això, qualsevol programari que ens insisteixi en desactivar permanentment la signatura de drivers per “optimitzar rendiment”, “activar funcions ocultes” o promeses similars s'ha de considerar sospitós. Sempre és preferible buscar alternatives: drivers oficials actualitzats, versions signades, modes de prova controlats o fins i tot mantenir el maquinari fora de servei si cal, abans que deixar el sistema desprotegit.
Drivers de Windows davant de drivers del fabricant: què utilitzar i quan
Un punt que genera força confusió és la diferència entre els drivers genèrics que aporta Microsoft amb el sistema i els controladors específics de cada fabricant. Els primers permeten que la majoria de dispositius funcionin “de sèrie” en connectar el maquinari, però solen oferir només les funcions bàsiques del component.
Si, per exemple, és una impressora multifunció, és probable que amb els drivers de Windows es pugui imprimir sense problemes, però pot resultar complicat accedir a l'escàner, a funcionalitats avançades de gestió de paper oa panells de diagnòstic propis del fabricant. Per treure tot el partit al dispositiu, l'ideal és instal·lar els controladors i programari oficials del proveïdor, que solen incloure signatures digitals vàlides i més opcions de configuració.
A l'hora de descarregar drivers, és crític assegurar-se que el web visitat és realment el fabricant i no un portal de tercers que actua d'intermediari. Un truc senzill és comprovar acuradament la URL del domini i evitar instal·ladors genèrics que prometen “actualitzar tots els teus drivers” però afegeixen adware o fins i tot malware. Sempre que la signatura de controladors estigui habilitada, Windows ajudarà a bloquejar aquest tipus de paquets dubtosos, mostrant advertiments o impedint-ne la instal·lació.
Eines d'actualització i diagnòstic de controladors
Per als usuaris que prefereixen delegar part de la feina, existeixen utilitats especialitzades en detectar drivers desactualitzats i suggerir versions més recents, com Driver Booster, Driver Talent, AVG Driver Updater o solucions més tècniques com Snappy Driver Installer o DriverPack Solution. Tot i que poden ser útils per localitzar paquets difícils de trobar, convé fer-les servir amb prudència i sempre verificant la procedència dels controladors proposats.
Al costat del diagnòstic, eines com DriverView, de Nirsoft, permeten llistar tots els drivers instal·lats al sistema i distingir ràpidament quins pertanyen a Microsoft (amb firmes vàlides) i quins són de tercers. Aquesta aplicació mostra, per exemple, els controladors de Microsoft amb fons blanc i ressalta en vermell aquells que procedeixen d'altres empreses, facilitant la identificació de possibles fonts de problemes.
DriverView permet ordenar la llista per companyia, filtrar per amagar els drivers de Microsoft i centrar-se en els de tercers, i veure informació detallada de cadascú en fer doble clic: nom, ruta, versió, empresa, etc. Amb aquesta informació, és més senzill decidir si un controlador sospitós forma part d'un programari de confiança o és un candidat a ser desinstal·lat per millorar l'estabilitat o la seguretat del sistema.
Smartcards, certificats en targeta i Bit4id PKI Manager
En entorns corporatius i administratius, és molt habitual que els certificats usats per signatura electrònica, autenticació o xifrat s'emmagatzemen en targetes intel·ligents o tokens criptogràfics. La gestió d'aquests dispositius —incloent-hi PIN, PUK, importació i exportació de certificats— requereix eines específiques com Bit4id PKI Manager i el seu middleware associat.
Bit4id PKI Manager ofereix una vista dels dispositius connectats (lectors de targetes, tokens) i, després d'iniciar sessió amb el PIN, permet veure els certificats d'usuari i d'Autoritat de Certificació (CA) allotjats al dispositiu. Des del panell es poden realitzar tasques com desbloquejar PIN amb el PUK, canviar el PIN o el PUK, iniciar i tancar sessió a la targeta, reanomenar el dispositiu o importar certificats en format .p12/.pfx que incloguin la clau privada.
Quan importeu un certificat, l'aplicació sol·licita seleccionar el fitxer, introduir el PIN de la targeta, la contrasenya del contenidor PFX/P12 i, opcionalment, un identificador CKA_ID per a ús amb PKCS#11. A la inversa, també permet exportar certificats en format .cer, contenint només la clau pública, ja que la clau privada d'una smartcard mai no es pot extreure per motius de seguretat.
Una funcionalitat addicional interessant és la possibilitat de sincronitzar automàticament els certificats de la targeta amb el magatzem de certificats de Windows, una cosa imprescindible perquè aplicacions com Microsoft Edge, Chrome, Opera o Adobe Reader puguin utilitzar aquests certificats per autenticar-se o signar documents PDF des del propi navegador o aplicació.
Comprovació de certificats a Windows, navegadors i Adobe Reader
Per verificar que els certificats en targeta s'han carregat correctament al sistema, es pot obrir el magatzem de certificats de Windows amb certmgr.msc des del menú Inici. Dins la carpeta “Personal” → “Certificats” haurien d'aparèixer els certificats d'usuari vinculats a la targeta si el middleware ha fet bé la seva feina.
En el cas del Firefox, que manté el propi magatzem de certificats independent, cal revisar la secció de seguretat i certificats a les preferències del navegador. Si es configuren correctament els mòduls PKCS#11 i s'introdueix el PIN quan es demana, els certificats de l'smartcard també apareixeran a les pestanyes de certificats d'usuari i d'autoritats.
Per Adobe Acrobat Reader, la ruta passa pel menú de “Preferències” → “Firmes” → “Identitats i certificats de confiança” i la secció “IDs digitals de Windows”. Si els certificats són al magatzem de Windows, Adobe podrà utilitzar-los directament per a signar digitalment documents PDF. El flux típic consisteix a seleccionar “Utilitzar un certificat”, triar l'àrea del PDF on es col·locarà la signatura, escollir el certificat adequat i completar el procés introduint el PIN de la targeta quan se sol·liciti.
Solució de problemes freqüents amb drivers i certificats
Quan un controlador comença a comportar-se de forma erràtica o un component de maquinari deixa de funcionar, el primer és revisar la icona corresponent al Administrador de dispositius. Una icona groga indica un problema amb el driver: pot estar danyat, desactualitzat, mal signat o entrar en conflicte amb una altra peça de programari.
Entre les accions recomanades es troben l'ús del solucionador de problemes de maquinari integrat a Windows, l'actualització manual del controlador des de l'Administrador de dispositius, la desinstal·lació i reinstal·lació del driver o fins i tot tornar a una versió anterior si una actualització recent ha introduït la fallada. En molts casos, simplement permetent que Windows Update reinstal·li el controlador es resolen els conflictes.
En escenaris més complexos, com instal·lacions multiarrencada amb sistemes antics, errors del tipus “Els certificats de signatura no estan instal·lats” en instal·lar drivers de GPU a Windows 7, pot ser necessari extreure manualment els fitxers de l'instal·lador del fabricant i apuntar des de l'Administrador de dispositius a la carpeta d'extracció per forçar la instal·lació de l'INF correcte. També ajuda a assegurar-se que Windows 7 tingui les actualitzacions que habiliten SHA‑2 (com KB3033929) i, si tot falla, valorar si és viable desactivar temporalment la signatura de drivers en aquest sistema concret, sempre que romangui aïllat i amb drivers de font fiable.
Finalment, quan el problema es relaciona amb certificats a smartcard (PIN inconsistents, errors en iniciar sessió al middleware, errors en carregar certificats al magatzem), convé recopilar tota la informació de diagnòstic del PKI Manager, versions instal·lades, resultats de proves en navegadors i aplicacions, i remetre-la al proveïdor de la targeta oa l'Autoritat de Certificació per agilitzar la resolució de la incidència.
A la vista de tot això, queda clar que la gestió avançada de certificats i firmes de drivers a Windows no és només una qüestió de “que el dispositiu funcioni”, sinó de combinar seguretat, compatibilitat i bones pràctiques: triar bé els certificats de signatura de codi, controlar el seu cicle de vida al Centre de partners, respectar les polítiques de SHA‑2, saber quan i com relaxar les restriccions de signatura, aprofitar eines com DriverView o Bit4id PKI Manager i, sobre mantenint l'equilibri entre estabilitat, funcionalitat i protecció davant d'amenaces de baix nivell.