Unsignierte Treiber installieren
In der Praxis trifft es meist Alt-Hardware, Spezialgeräte oder Nischen-Peripherie (Scanner/Labeldrucker, Mess-/Industrie-Adapter, alte PCIe/USB-Karten) – also genau die Fälle, in denen der Hersteller entweder keine aktuellen Signaturen mehr liefert oder der Treiber nie WHQL-zertifiziert war. Für solche „Legacy-Treiber“ ist das Ziel: so kurz wie möglich lockern, so viel wie nötig.
Gilt das auch für Windows 11?
Ja – und eher strenger als Windows 10. Zusätzlich können Memory Integrity (HVCI) und die Vulnerable Driver Blocklist alte Treiber trotz deaktivierter Signaturprüfung verhindern.
Empfohlener Weg: Einmalig ohne Signaturprüfung booten (minimaler Eingriff)
Für den typischen „Ich muss den Treiber einmal installieren“-Fall ist das die sauberste Option:
- Shift gedrückt halten → Neu starten
- Problembehandlung → Erweiterte Optionen → Starteinstellungen → Neu starten
- Taste 7/F7: Disable driver signature enforcement
- Treiber installieren
- Neustart → Windows ist wieder im Normalmodus
Warum das für euren Use Case passt:
- Kein dauerhaftes „Testsigning“ am System
- Nach einem Neustart ist die Schutzfunktion wieder aktiv
- Gut dokumentierbar („Wartungsfenster“)
Wenn es trotzdem nicht klappt: die zwei häufigsten Blocker
1) Memory Integrity (HVCI) blockt den Treiber
Wenn der Treiber trotz F7 nicht lädt oder im Gerätemanager direkt wieder rausfliegt, ist oft HVCI/Memory Integrity aktiv.
Temporär deaktivieren (nur für die Installation):
Windows-Sicherheit → Gerätesicherheit → Kernisolierung → Speicherintegrität aus → Neustart
Danach Treiber installieren, anschließend wieder aktivieren.
2) Secure Boot/BitLocker-Fallen vermeiden
- BitLocker: Vor Firmware-/Boot-relevanten Änderungen (oder wenn du in Boot-Optionen rummachst) BitLocker am besten suspendieren, sonst landest du im Recovery.
- Secure Boot: Für den Einmal-Boot (F7) meist unkritisch. Für Testsigning kann Secure Boot aber zum Showstopper werden (siehe unten).
Lab/Notfall: Testmodus (wenn ihr öfter mit Legacy-Treibern arbeitet)
Wenn ihr den Treiber häufiger braucht (z. B. in einer Werkstatt-/Testmaschine), kann TESTSIGNING sinnvoll sein – aber bitte nur für dedizierte Systeme, nicht für produktive Clients.
bcdedit /set testsigning on
Zurück:
bcdedit /set testsigning off
Merke: In vielen Setups muss für Testsigning Secure Boot aus sein – das ist ein Sicherheitsrückschritt und daher nur für Lab/Altgeräte.
Praxischeckliste:
✅ Erst F7/Einmal-Boot versuchen
✅ Wenn nötig: Memory Integrity temporär aus
✅ Treiber installieren, Funktion testen
✅ Danach alles zurückdrehen (HVCI an, normal booten)
✅ Im Zweifel: Gerät isolieren (Test-PC), nicht in produktive Standard-Clients mischen