Windows 内核新增驱动程序信任策略:弃用过时证书
微软正在改变 Windows 中验证内核驱动程序的方式。从 2026 年 4 月开始,内核将忽略通过 2000 年代初引入的根证书交叉签名程序签名的驱动程序。该程序的支持于 2021 年结束,但这些证书此前仍被信任。现在,优先采用 Windows 硬件兼容性程序 (WHCP) 的签名。
信任机制的变化
Windows 内核将切换为仅信任 WHCP 驱动程序。过时的交叉签名证书默认不再加载。为了向后兼容,将维护一个明确的允许列表:已验证的旧驱动程序仍能加载。
更改将影响:
- Windows 11 24H2、25H2、26H1;
- Windows Server 2025;
- 所有未来的客户端和服务器版本。
这将通过最小化过时签名机制的风险来提升安全性,该决定基于数十亿设备收集的遥测数据。
审核模式和配置
新策略将以审核模式启动。系统将跟踪:
- 使用过时驱动的运行时间;
- 加载次数;
- 整体稳定性。
管理员可以通过 AppLocker(前身为 WDAC)覆盖该策略。这对于企业环境中使用内部驱动的场景非常有用。微软将继续监控反馈以进行优化。
在企业环境中,这有助于平衡安全性和与旧版硬件的兼容性。
安全更新背景
这些更改是加强防护的一系列措施的一部分。此前,已修复了一个关键网络漏洞。微软正在推进保护 Windows 部署服务 (WDS) 的第二阶段:阻止 Windows 11 和 Server 2025 的自动安装。未来,预计将完全放弃过时的 WDS 流程,转而采用现代协议。
关键点
- 从 2026 年 4 月起:Windows 内核仅信任 WHCP 签名,过时签名通过白名单;
- 审核模式用于监控而不立即阻止;
- AppLocker 用于企业例外;
- 适用于 Windows 11 24H2 及更高版本和 Server 2025;
- 基于遥测数据以最小化中断。
建议驱动开发者提前切换到 WHCP 认证。企业管理员应在审核模式下测试策略。
— Editorial Team
暂无评论。