返回首页

Windows 内核策略:2026 年起仅限 WHCP 驱动程序

Microsoft 在 Windows 内核中引入新的驱动程序信任策略,放弃过时的交叉签名证书,转而采用 WHCP。从 2026 年 4 月起以 audit 模式在 Windows 11 和 Server 2025 中启动变更。为兼容性提供白名单和 AppLocker。

Windows 内核变更规则:用 WHCP 取代旧版
Advertisement 728x90

Windows 内核新增驱动程序信任策略:弃用过时证书

微软正在改变 Windows 中验证内核驱动程序的方式。从 2026 年 4 月开始,内核将忽略通过 2000 年代初引入的根证书交叉签名程序签名的驱动程序。该程序的支持于 2021 年结束,但这些证书此前仍被信任。现在,优先采用 Windows 硬件兼容性程序 (WHCP) 的签名。

信任机制的变化

Windows 内核将切换为仅信任 WHCP 驱动程序。过时的交叉签名证书默认不再加载。为了向后兼容,将维护一个明确的允许列表:已验证的旧驱动程序仍能加载。

更改将影响:

Google AdInline article slot
  • Windows 11 24H2、25H2、26H1;
  • Windows Server 2025;
  • 所有未来的客户端和服务器版本。

这将通过最小化过时签名机制的风险来提升安全性,该决定基于数十亿设备收集的遥测数据。

审核模式和配置

新策略将以审核模式启动。系统将跟踪:

  • 使用过时驱动的运行时间;
  • 加载次数;
  • 整体稳定性。

管理员可以通过 AppLocker(前身为 WDAC)覆盖该策略。这对于企业环境中使用内部驱动的场景非常有用。微软将继续监控反馈以进行优化。

Google AdInline article slot

在企业环境中,这有助于平衡安全性和与旧版硬件的兼容性。

安全更新背景

这些更改是加强防护的一系列措施的一部分。此前,已修复了一个关键网络漏洞。微软正在推进保护 Windows 部署服务 (WDS) 的第二阶段:阻止 Windows 11 和 Server 2025 的自动安装。未来,预计将完全放弃过时的 WDS 流程,转而采用现代协议。

关键点

  • 从 2026 年 4 月起:Windows 内核仅信任 WHCP 签名,过时签名通过白名单;
  • 审核模式用于监控而不立即阻止;
  • AppLocker 用于企业例外;
  • 适用于 Windows 11 24H2 及更高版本和 Server 2025;
  • 基于遥测数据以最小化中断。

建议驱动开发者提前切换到 WHCP 认证。企业管理员应在审核模式下测试策略。

Google AdInline article slot

— Editorial Team

Advertisement 728x90

继续阅读