微软将调整沿用数十年的 Windows 内核驱动信任策略
微软宣布将对 Windows 内核驱动的信任机制进行重大调整,从 2026 年 4 月起,默认不再允许由“旧版交叉签名根计划”(legacy cross-signed root program)签发证书的内核驱动在 Windows 11 上加载,以提升系统安全性与稳定性。 这项变更被视为微软为改善 Windows 11 在性能、可靠性和企业环境稳定性方面表现所采取的又一重要举措。
所谓交叉签名根计划,是微软在 2000 年代早期推出的一项机制,允许经过第三方合作伙伴审核的代码签名证书被系统内核视作可信,从而使相关驱动在内核态加载。 微软已于 2021 年正式退役该计划,此后通过该渠道签发的所有证书也已到期,但在部分场景中,这些证书在 Windows 内核中仍被当作可信对象而继续生效。
根据最新公布的方案,自 2026 年 4 月起,Windows 内核将只接受通过 Windows 硬件兼容性计划(Windows Hardware Compatibility Program,WHCP)签名的驱动程序。 与此同时,出于兼容性考虑,微软仍将维护一份显式“允许列表”,将部分历史悠久但信誉良好、且曾通过交叉签名根计划审核的旧驱动纳入白名单,使其在新策略下仍可被内核加载。 新策略适用于 Windows 11 24H2、25H2、26H1、Windows Server 2025 以及之后的所有 Windows 客户端与服务器版本。
考虑到不少企业与特定行业环境仍依赖老旧驱动以维持关键业务系统的正常运行,微软表示,新内核信任策略将先以“评估模式”上线,在一段时间内对系统运行小时数和启动情况进行监控与审计,而不会立即强制阻断相关驱动。 在此基础上,企业管理员还可以通过配置“企业应用控制”(Application Control for Business,前身为 WDAC)策略,对默认的内核信任策略进行覆盖,用于在特定场景下加载内部自研或定制驱动。
微软强调,这一新内核策略将自 2026 年 4 月起分阶段持续推送,并会在实施过程中密切关注客户反馈,进一步优化实际体验。 官方表示,目前为策划这套内核信任机制所使用的允许列表与规则,基于过去数年间从 Windows 11 与 Windows Server 2025 设备收集到的数十亿条遥测数据信号,以在安全性与兼容性之间取得相对平衡。
