EN
Windows 11, Microsoft'un güvenlik odaklı yaklaşımıyla kod imzalama gereksinimlerini önemli ölçüde sıkılaştırdı. Bu rehberde, Windows 11'in kod imzalama ile ilgili tüm gereksinimlerini ve geliştirici olarak bilmeniz gerekenleri detaylı şekilde ele alıyoruz.
📋 Bu Rehberde:
- Smart App Control ve kod imzalama ilişkisi
- HVCI (Hypervisor-Protected Code Integrity) zorunluluğu
- Windows 11 driver imzalama kuralları
- Microsoft Store dağıtım gereksinimleri
- Geliştirici uyumluluk kontrol listesi
Smart App Control (SAC) Nedir?
Smart App Control, Windows 11 22H2 ile tanıtılan ve bilinmeyen veya potansiyel olarak tehlikeli uygulamaları engelleyen bir güvenlik katmanıdır. SmartScreen'in evrimleşmiş versiyonudur.
SAC Nasıl Çalışır?
- Bulut tabanlı yapay zeka modeli, uygulamanın güvenli olup olmadığını tahmin eder.
- Uygulama güvenli olarak tanınmıyorsa, geçerli bir kod imzalama sertifikası aranır.
- Ne güvenli olarak tanınan ne de imzalı olan uygulamalar engellenir.
⚠️ Önemli: SAC etkin olduğunda, imzasız uygulamalar hiçbir şekilde çalıştırılamaz — kullanıcı override seçeneği yoktur. Bu durum, kod imzalamayı isteğe bağlı olmaktan çıkarıp zorunlu hale getirmektedir.
SAC ve Sertifika Türleri
| Senaryo | SAC Sonucu |
|---|---|
| EV Code Signing ile imzalı | ✅ Anında izin verilir |
| OV Code Signing ile imzalı + yüksek itibar | ✅ İzin verilir |
| OV Code Signing ile imzalı + düşük itibar | ⚠️ AI modeline bağlı |
| İmzasız uygulama | ❌ Engellenir |
HVCI (Hypervisor-Protected Code Integrity)
Windows 11, yeni cihazlarda HVCI'yi varsayılan olarak etkinleştirir. HVCI, çekirdek modunda çalışan tüm kodun imzalı olmasını zorunlu kılar.
HVCI'nin Driver'lara Etkisi
- Tüm kernel-mode driver'lar WHQL (Windows Hardware Quality Labs) sertifikasına sahip olmalıdır.
- WHQL sertifikası almak için EV Code Signing sertifikası gereklidir.
- Test imzalı driver'lar üretim ortamında çalışmaz.
- Eski, imzasız driver'lar otomatik olarak engellenir.
# HVCI durumunu kontrol etme (PowerShell)
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard |
Select-Object -Property VirtualizationBasedSecurityStatus, CodeIntegrityPolicyEnforcementStatus
# Driver imzasını doğrulama
signtool verify /kp /v mydriver.sysWindows 11 Driver İmzalama Gereksinimleri
| Driver Türü | Gereksinim |
|---|---|
| Kernel-mode driver | EV Code Signing + WHQL/Attestation Signing (zorunlu) |
| User-mode driver (UMDF) | OV veya EV Code Signing yeterli |
| Printer driver | WHQL zorunlu (Windows 11 24H2+) |
| Boot driver | Microsoft cross-signing + WHQL |
MSIX ve Microsoft Store Gereksinimleri
Windows 11, MSIX paket formatını destekler. Microsoft Store dışında dağıtım için:
- MSIX paketi güvenilir bir sertifika ile imzalanmalıdır.
- Sertifikanın Subject alanı, paketin Publisher alanıyla eşleşmelidir.
- Timestamp zorunludur.
# MSIX paketi imzalama
signtool sign /fd SHA256 /tr http://timestamp.digicert.com /td sha256 /a MyApp.msix
# AppInstaller ile dağıtım için
signtool sign /fd SHA256 /tr http://timestamp.digicert.com /td sha256 /f cert.pfx /p password MyApp.appinstallerWindows 11 Geliştirici Uyumluluk Kontrol Listesi
- ☐ SHA-256 hash algoritması kullanın (SHA-1 artık kabul edilmez)
- ☐ Her imzalamada RFC 3161 timestamp ekleyin
- ☐ RSA 3072-bit veya üzeri anahtar kullanın
- ☐ Özel anahtarı FIPS 140-2 Level 2+ donanımda saklayın
- ☐ Kernel driver'lar için EV sertifika + WHQL edinin
- ☐ MSIX paketlerinde Publisher ve Subject eşleşmesini doğrulayın
- ☐ Smart App Control ile uyumluluğu test edin
- ☐
signtool verify /paile imzayı doğrulayın
Sonuç
Windows 11, Smart App Control ve HVCI gibi özelliklerle kod imzalamayı artık bir zorunluluk haline getirmiştir. Uygulamanızın Windows 11 kullanıcılarına sorunsuz ulaşması için güncel bir kod imzalama sertifikasına sahip olmanız kritik öneme sahiptir.
Tüm Windows 11 gereksinimlerini karşılayan OV, EV ve Cloud kod imzalama sertifikaları için ürün kataloğumuzu inceleyin.