# Nowa polityka zaufania do sterowników w jądrze Windows: rezygnacja z przestarzałych certyfikatów
Microsoft zmienia podejście do weryfikacji sterowników jądra w systemie Windows. Od kwietnia 2026 roku jądro będzie ignorować sterowniki podpisane za pomocą programu wzajemnego podpisywania certyfikatów głównego, wprowadzonego na początku lat 2000. Wsparcie dla tego programu zakończono w 2021 roku, ale certyfikaty nadal były uznawane za zaufane. Teraz priorytet mają podpisy z programu zgodności sprzętu Windows (WHCP).
Zmiany w mechanizmie zaufania
Jądro Windows przejdzie na wyłączne zaufanie do sterowników WHCP. Przestarzałe certyfikaty wzajemnego podpisywania przestaną się ładować domyślnie. Dla zachowania kompatybilności wstecznej pozostanie jawna lista wyjątków: sprawdzone stare sterowniki będą mogły się ładować.
Zmiany dotkną:
- Windows 11 24H2, 25H2, 26H1;
- Windows Server 2025;
- Wszystkie przyszłe wydania klienckie i serwerowe.
To zwiększy bezpieczeństwo, minimalizując ryzyka związane z przestarzałymi mechanizmami podpisywania opartymi na telemetrii miliardów urządzeń.
Tryb zapoznawczy i konfiguracja
Nowa polityka uruchomi się w trybie zapoznawczym (audit). System będzie monitorować:
- Czas pracy ze starszymi sterownikami;
- Liczbę załadowań;
- Ogólną stabilność.
Administratorzy będą mogli nadpisać politykę za pomocą AppLocker (wcześniej WDAC). Przydatne w scenariuszach korporacyjnych z wewnętrznymi sterownikami. Microsoft będzie kontynuować monitorowanie opinii w celu dalszych usprawnień.
W środowiskach korporacyjnych pozwoli to zrównoważyć bezpieczeństwo i kompatybilność ze starszym sprzętem.
Kontekst aktualizacji bezpieczeństwa
Zmiany wpisują się w serię środków wzmacniających ochronę. Wcześniej naprawiono krytyczną lukę w zabezpieczeniach sieciowych. Microsoft przechodzi do drugiego etapu ochrony Windows Deployment Services (WDS): blokada automatycznej instalacji Windows 11 i Server 2025. W przyszłości spodziewany jest całkowity otkaz od przestarzałych procesów WDS na rzecz nowoczesnych protokołów.
Co ważne
- Od kwietnia 2026: jądro Windows ufa tylko podpisom WHCP, starsze — przez whitelist;
- Tryb audit do monitorowania bez natychmiastowych blokad;
- AppLocker dla wyjątków korporacyjnych;
- Dotyczy Windows 11 24H2+ i Server 2025;
- Oparte na telemetrii w celu minimalizacji awarii.
Programistom sterowników zaleca się wcześniejsze przejście na certyfikację WHCP. Administratorom korporacyjnym — przetestowanie polityk w trybie audit.
— Editorial Team
Brak komentarzy.