问为什么某些Windows可执行文件没有“数字签名”选项卡？

EN

Microsoft不需要对可执行文件进行签名。然而，司机是。

从64位版本的Windows和更高版本的Windows开始，驱动程序代码签名策略要求所有驱动程序代码都有一个数字签名。此外，32位版本的Windows和以后版本的Windows的某些配置也需要对驱动程序代码进行数字签名，以便访问由内容保护策略控制的下一代优质内容。Windows Vista和更高版本的Windows依赖于这些组件的数字签名，以提高Microsoft Windows平台的安全性和稳定性，并使新客户体验到下一代优质内容。

参考文献：https://msdn.microsoft.com/en-us/library/windows/hardware/ff548231(v=vs.85).aspx

如果您在Microsoft可执行文件中找到这种情况，原因是Windows的实现:只有当签名在可执行文件本身(例如用signtool签名)时，Windows资源管理器才会显示数字签名。它不会显示存储在Windows数字签名目录(C:\Windows\System32\catroot\)中的数字签名(例如，使用makecat生成)。

若要检查可执行签名(包括数字签名目录中的条目)，请使用SysInternals SigCheck。它还将告诉您，在使用-i命令行开关运行时，它在哪里找到了签名。

C:\>sigcheck.exe -i c:\Windows\System32\cmd.exe

Sigcheck v2.1 - File version and signature viewer
Copyright (C) 2004-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\windows\system32\cmd.exe:
        Verified:       Signed
        Catalog:        C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package-AutoMerged-base~31bf3856ad364e35~amd64~~10.0.10586.0.cat
[...]

1. 制造商从未对.exe进行过数字认证？

是。这意味着在部署工作流程中要付出额外的努力。

我之所以问这个问题，是因为我认为如果原因是#2 (二进制文件从未被CA认证过)，那么在安装软件时我就会收到某种警告信息。

不是的。虽然您可以使用"AppLocker“配置类似的东西(我猜通过使用出版商允许-带有条件“任意发布者”的规则)，但在我所知道的任何Windows上，默认情况下都没有这样的机制。