Neue Treibervertrauensrichtlinie im Windows-Kernel: Veraltete Zertifikate werden gestrichen
Microsoft ändert seinen Ansatz zur Überprüfung von Kernel-Treibern in Windows. Ab April 2026 wird der Kernel Treiber ignorieren, die über das Quersignierungsprogramm für Root-Zertifikate aus den frühen 2000er Jahren signiert wurden. Die Unterstützung für dieses Programm endete 2021, aber die Zertifikate blieben weiterhin vertrauenswürdig. Nun hat die Signatur aus dem Windows Hardware Compatibility Program (WHCP) Vorrang.
Änderungen im Vertrauensmechanismus
Der Windows-Kernel wird auf exklusives Vertrauen in WHCP-Treiber umstellen. Veraltete Quersignierungs-Zertifikate werden standardmäßig nicht mehr geladen. Zur Abwärtskompatibilität wird eine explizite Whitelist gepflegt: Verifizierte alte Treiber können weiterhin geladen werden.
Änderungen betreffen:
- Windows 11 24H2, 25H2, 26H1;
- Windows Server 2025;
- Alle zukünftigen Client- und Server-Releases.
Dies verbessert die Sicherheit, indem Risiken aus veralteten Signierungsmechanismen minimiert werden – basierend auf Telemetrie von Milliarden Geräten.
Audit-Modus und Konfiguration
Die neue Richtlinie startet im Audit-Modus. Das System protokolliert:
- Laufzeit mit veralteten Treibern;
- Anzahl der Ladevorgänge;
- Gesamte Stabilität.
Administratoren können die Richtlinie über AppLocker (ehemals WDAC) überschreiben. Dies ist nützlich für Enterprise-Szenarien mit internen Treibern. Microsoft wird Feedback weiter überwachen, um Feinabstimmungen vorzunehmen.
In Unternehmensumgebungen ermöglicht dies eine Abwägung zwischen Sicherheit und Kompatibilität mit Legacy-Hardware.
Kontext der Sicherheitsupdates
Diese Änderungen passen in eine Reihe von Maßnahmen zur Stärkung des Schutzes. Zuvor wurde eine kritische Netzwerkschwachstelle behoben. Microsoft schreitet zur zweiten Phase des Schutzes von Windows Deployment Services (WDS): Blockieren der automatischen Installation von Windows 11 und Server 2025. In Zukunft wird ein vollständiger Verzicht auf veraltete WDS-Prozesse zugunsten moderner Protokolle erwartet.
Wichtige Punkte
- Ab April 2026: Windows-Kernel vertraut nur noch WHCP-Signaturen, veraltete über Whitelist;
- Audit-Modus zur Überwachung ohne sofortige Blockaden;
- AppLocker für Enterprise-Ausnahmen;
- Gilt für Windows 11 24H2+ und Server 2025;
- Basierend auf Telemetrie, um Störungen zu minimieren.
Treiberentwicklern wird empfohlen, frühzeitig auf WHCP-Zertifizierung umzusteigen. Unternehmensadministratoren sollten Richtlinien im Audit-Modus testen.
— Editorial Team
Noch keine Kommentare.