- Microsoft с апреля 2026 года перестанет по умолчанию загружать в Windows драйверы ядра, подписанные по старой схеме cross-signing.
- Ядро Windows будет принимать только драйверы, подписанные через программу совместимости оборудования Windows — WHCP.
- Изменения затронут Windows 11 версий 24H2, 25H2, 26H1, Windows Server 2025 и все будущие клиентские и серверные выпуски.
Microsoft объявила, что с апреля 2026 года изменит политику доверия ядра Windows: система перестанет по умолчанию загружать старые драйверы, подписанные через устаревшую программу перекрёстной подписи сертификатов. Вместо этого ядро будет доверять только драйверам, которые прошли через WHCP — официальную программу проверки совместимости оборудования для Windows.
Речь идёт о механизме, который компания ввела ещё в начале 2000-х. Тогда сторонние партнёры могли подтверждать подпись драйверов, и Windows считала такие компоненты доверенными. Поддержку этой схемы Microsoft прекратила в 2021 году, однако часть ранее выпущенных сертификатов всё ещё продолжала работать в некоторых сценариях. Теперь компания решила убрать это исключение ради безопасности и общей стабильности системы.
Новая политика будет действовать в Windows 11 24H2, 25H2 и 26H1, а также в Windows Server 2025 и следующих версиях ОС. При этом Microsoft не собирается резко отрезать все старые драйверы: для совместимости сохранится отдельный список разрешений, через который система сможет загружать проверенные устаревшие драйверы.
Для организаций, где всё ещё используется старое или внутреннее оборудование, переход сделают более мягким. Сначала политика заработает в ознакомительном режиме: Windows будет отслеживать, как система ведёт себя при загрузке таких драйверов и насколько часто они используются. Кроме того, бизнес сможет переопределить стандартные ограничения через Windows Defender Application Control, инструмент для управления тем, какие приложения и драйверы разрешено запускать в корпоративной среде.
В Microsoft добавили, что решение опирается на телеметрию, собранную с миллиардов сигналов от устройств с Windows 11 и Windows Server 2025 за последние годы. Компания также пообещала следить за отзывами пользователей и при необходимости корректировать детали внедрения.
Microsoft в последние месяцы последовательно ужесточает защиту Windows и связанных с ней корпоративных инструментов. Ранее компания уже выпускала исправления для критических уязвимостей и сообщала о поэтапном отказе от устаревших сценариев в Windows Deployment Services.
Производителям оборудования и ИТ-отделам нужно заранее проверить, какие драйверы используют старую схему подписи, и подготовить замену. Для обычных пользователей это означает меньше шансов, что в систему загрузится устаревший или потенциально небезопасный драйвер ядра.
