Zpět na domů

Politika jádra Windows: pouze WHCP ovladače od 2026

Microsoft zavádí novou politiku důvěry ovladačů v jádře Windows, odmítá zastaralé certifikáty křížového podpisování ve prospěch WHCP. Změny startují v audit režimu od dubna 2026 pro Windows 11 a Server 2025. Jsou předvídány whitelist a AppLocker pro kompatibilitu.

Jádro Windows mění pravidla: WHCP místo legacy
Advertisement 728x90

# Nová politika důvěry ovladačů v jádře Windows: odmítnutí zastaralých certifikátů

Microsoft mění přístup k ověřování ovladačů jádra ve Windows. Od dubna 2026 bude jádro ignorovat ovladače podepsané prostřednictvím programu křížového podpisování kořenového certifikátu, zavedeného na počátku 2000. let. Podpora tohoto programu byla ukončena v roce 2021, ale certifikáty zůstaly důvěryhodné. Nyní je priorita dávána podpisům z programu kompatibility hardware Windows (WHCP).

Změny v mechanismu důvěry

Jádro Windows přejde na exkluzivní důvěru k ovladačům WHCP. Zastaralé certifikáty křížového podpisování se přestane načítat ve výchozím nastavení. Pro zpětnou kompatibilitu bude zachován explicitní seznam povolení: ověřené staré ovladače se budou moci načítat.

Změny se dotknou:

Google AdInline article slot
  • Windows 11 24H2, 25H2, 26H1;
  • Windows Server 2025;
  • Všechny budoucí klientské a serverové vydání.

To zvýší bezpečnost tím, že minimalizuje rizika ze zastaralých mechanismů podpisování založených na telemetrii miliard zařízení.

Audit režim a nastavení

Nová politika se spustí v audit (seznámecím) režimu. Systém bude sledovat:

  • Čas provozu se zastaralými ovladači;
  • Počet načtení;
  • Celkovou stabilitu.

Administrátoři budou moci politiku přepsat prostřednictvím AppLocker (dříve WDAC). Užitečné pro firemní scénáře s interními ovladači. Microsoft bude pokračovat v monitorování zpětné vazby pro další vylepšení.

Google AdInline article slot

V firemních prostředích to umožní vyvažovat mezi bezpečností a kompatibilitou legacy zařízení.

Kontext bezpečnostních aktualizací

Změny se vejdou do série opatření k posílení ochrany. Dříve byla opravena kritická síťová zranitelnost. Microsoft přechází na druhou fázi ochrany Windows Deployment Services (WDS): blokování automatické instalace Windows 11 a Server 2025. V budoucnu se očekává úplné ukončení zastaralých WDS procesů ve prospěch moderních protokolů.

Co je důležité

  • Od dubna 2026: jádro Windows důvěřuje pouze WHCP podpisům, zastaralé – přes whitelist;
  • Audit režim pro monitorování bez okamžitých blokování;
  • AppLocker pro firemní výjimky;
  • Platí pro Windows 11 24H2+ a Server 2025;
  • Založeno na telemetrii pro minimalizaci selhání.

Vývojářům ovladačů se doporučuje přejít na WHCP certifikaci předem. Firemním administrátorům – otestovat politiky v audit režimu.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Číst dál