Powrót do strony głównej

Polityka jądra Windows: tylko sterowniki WHCP od 2026

Microsoft wprowadza nową politykę zaufania sterowników w jądrze Windows, rezygnując z przestarzałych certyfikatów podpisu krzyżowego na rzecz WHCP. Zmiany startują w trybie audytu od kwietnia 2026 dla Windows 11 i Server 2025. Przewidziane biała lista i AppLocker dla kompatybilności.

Jądro Windows zmienia zasady: WHCP zamiast legacy
Advertisement 728x90

# Nowa polityka zaufania do sterowników w jądrze Windows: rezygnacja z przestarzałych certyfikatów

Microsoft zmienia podejście do weryfikacji sterowników jądra w systemie Windows. Od kwietnia 2026 roku jądro będzie ignorować sterowniki podpisane za pomocą programu wzajemnego podpisywania certyfikatów głównego, wprowadzonego na początku lat 2000. Wsparcie dla tego programu zakończono w 2021 roku, ale certyfikaty nadal były uznawane za zaufane. Teraz priorytet mają podpisy z programu zgodności sprzętu Windows (WHCP).

Zmiany w mechanizmie zaufania

Jądro Windows przejdzie na wyłączne zaufanie do sterowników WHCP. Przestarzałe certyfikaty wzajemnego podpisywania przestaną się ładować domyślnie. Dla zachowania kompatybilności wstecznej pozostanie jawna lista wyjątków: sprawdzone stare sterowniki będą mogły się ładować.

Zmiany dotkną:

Google AdInline article slot
  • Windows 11 24H2, 25H2, 26H1;
  • Windows Server 2025;
  • Wszystkie przyszłe wydania klienckie i serwerowe.

To zwiększy bezpieczeństwo, minimalizując ryzyka związane z przestarzałymi mechanizmami podpisywania opartymi na telemetrii miliardów urządzeń.

Tryb zapoznawczy i konfiguracja

Nowa polityka uruchomi się w trybie zapoznawczym (audit). System będzie monitorować:

  • Czas pracy ze starszymi sterownikami;
  • Liczbę załadowań;
  • Ogólną stabilność.

Administratorzy będą mogli nadpisać politykę za pomocą AppLocker (wcześniej WDAC). Przydatne w scenariuszach korporacyjnych z wewnętrznymi sterownikami. Microsoft będzie kontynuować monitorowanie opinii w celu dalszych usprawnień.

Google AdInline article slot

W środowiskach korporacyjnych pozwoli to zrównoważyć bezpieczeństwo i kompatybilność ze starszym sprzętem.

Kontekst aktualizacji bezpieczeństwa

Zmiany wpisują się w serię środków wzmacniających ochronę. Wcześniej naprawiono krytyczną lukę w zabezpieczeniach sieciowych. Microsoft przechodzi do drugiego etapu ochrony Windows Deployment Services (WDS): blokada automatycznej instalacji Windows 11 i Server 2025. W przyszłości spodziewany jest całkowity otkaz od przestarzałych procesów WDS na rzecz nowoczesnych protokołów.

Co ważne

  • Od kwietnia 2026: jądro Windows ufa tylko podpisom WHCP, starsze — przez whitelist;
  • Tryb audit do monitorowania bez natychmiastowych blokad;
  • AppLocker dla wyjątków korporacyjnych;
  • Dotyczy Windows 11 24H2+ i Server 2025;
  • Oparte na telemetrii w celu minimalizacji awarii.

Programistom sterowników zaleca się wcześniejsze przejście na certyfikację WHCP. Administratorom korporacyjnym — przetestowanie polityk w trybie audit.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Czytaj dalej