Zurück zur Startseite

Windows Kernel-Richtlinie: Nur WHCP-Treiber ab 2026

Microsoft führt neue Treuerrichtlinie für Treiber im Windows-Kernel ein, verzichtet auf veraltete Cross-Signing-Zertifikate zugunsten von WHCP. Änderungen starten im Audit-Modus ab April 2026 für Windows 11 und Server 2025. Whitelist und AppLocker für Kompatibilität bereitgestellt.

Windows Kernel-Änderungsregeln: WHCP statt Legacy
Advertisement 728x90

Neue Treibervertrauensrichtlinie im Windows-Kernel: Veraltete Zertifikate werden gestrichen

Microsoft ändert seinen Ansatz zur Überprüfung von Kernel-Treibern in Windows. Ab April 2026 wird der Kernel Treiber ignorieren, die über das Quersignierungsprogramm für Root-Zertifikate aus den frühen 2000er Jahren signiert wurden. Die Unterstützung für dieses Programm endete 2021, aber die Zertifikate blieben weiterhin vertrauenswürdig. Nun hat die Signatur aus dem Windows Hardware Compatibility Program (WHCP) Vorrang.

Änderungen im Vertrauensmechanismus

Der Windows-Kernel wird auf exklusives Vertrauen in WHCP-Treiber umstellen. Veraltete Quersignierungs-Zertifikate werden standardmäßig nicht mehr geladen. Zur Abwärtskompatibilität wird eine explizite Whitelist gepflegt: Verifizierte alte Treiber können weiterhin geladen werden.

Änderungen betreffen:

Google AdInline article slot
  • Windows 11 24H2, 25H2, 26H1;
  • Windows Server 2025;
  • Alle zukünftigen Client- und Server-Releases.

Dies verbessert die Sicherheit, indem Risiken aus veralteten Signierungsmechanismen minimiert werden – basierend auf Telemetrie von Milliarden Geräten.

Audit-Modus und Konfiguration

Die neue Richtlinie startet im Audit-Modus. Das System protokolliert:

  • Laufzeit mit veralteten Treibern;
  • Anzahl der Ladevorgänge;
  • Gesamte Stabilität.

Administratoren können die Richtlinie über AppLocker (ehemals WDAC) überschreiben. Dies ist nützlich für Enterprise-Szenarien mit internen Treibern. Microsoft wird Feedback weiter überwachen, um Feinabstimmungen vorzunehmen.

Google AdInline article slot

In Unternehmensumgebungen ermöglicht dies eine Abwägung zwischen Sicherheit und Kompatibilität mit Legacy-Hardware.

Kontext der Sicherheitsupdates

Diese Änderungen passen in eine Reihe von Maßnahmen zur Stärkung des Schutzes. Zuvor wurde eine kritische Netzwerkschwachstelle behoben. Microsoft schreitet zur zweiten Phase des Schutzes von Windows Deployment Services (WDS): Blockieren der automatischen Installation von Windows 11 und Server 2025. In Zukunft wird ein vollständiger Verzicht auf veraltete WDS-Prozesse zugunsten moderner Protokolle erwartet.

Wichtige Punkte

  • Ab April 2026: Windows-Kernel vertraut nur noch WHCP-Signaturen, veraltete über Whitelist;
  • Audit-Modus zur Überwachung ohne sofortige Blockaden;
  • AppLocker für Enterprise-Ausnahmen;
  • Gilt für Windows 11 24H2+ und Server 2025;
  • Basierend auf Telemetrie, um Störungen zu minimieren.

Treiberentwicklern wird empfohlen, frühzeitig auf WHCP-Zertifizierung umzusteigen. Unternehmensadministratoren sollten Richtlinien im Audit-Modus testen.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Weiterlesen