據微軟官方公告,自2026年4月起,Windows內核將默認拒絕加載通過舊版交叉簽名根程序簽名的驅動程序,這意味著一項延續超過20年的內核信任策略即將畫上句號。
所謂交叉簽名根程序,是微軟在2000年代初推出的一項機制,允許第三方合作伙伴在經過審核後獲取Windows信任的代碼簽名證書。
微軟已於2021年正式退役該程序,所有通過該流程簽發的證書均已過期,但Windows內核至今仍默認信任這些舊證書,部分場景下仍可加載相關驅動。
根據新政策,Windows內核將只接受通過Windows硬件兼容性計劃(WHCP)簽名的驅動程序。
該政策將適用於Windows 11 24H2、25H2、26H1、Windows Server 2025及所有未來的客戶端和服務器版本。
不過微軟也留了後手,會維護一份白名單,允許內核加載經過交叉簽名根程序審核、信譽良好的舊版驅動,以確保兼容性。
考慮到部分企業環境可能依賴舊版驅動,微軟將新內核信任策略的初始階段設為評估模式,僅對系統運行時間和啟動次數進行監控審計,不會立即阻斷。
同時,用戶仍可通過配置Application Control for Business(前身為WDAC)策略來覆蓋默認內核策略,這對於需要加載內部自研驅動的組織尤為實用。
微軟表示,新政策基於過去數年間從Windows 11和Windows Server 2025設備採集的數十億條遙測信號制定,後續將根據用戶反饋持續優化。