微软要求老旧内核驱动程序加入Windows硬件兼容性计划

微软正在移除对未通过Windows硬件兼容性计划(WHCP)的内核驱动程序的信任，以进一步保护Windows内核的安全性。

该公司正在针对通过早已弃用的交叉签名根程序签名的内核驱动程序采取行动。尽管与该程序相关的所有证书都已过期，但这些驱动程序"在Windows内核中仍被广泛信任"。这种情况将在2026年4月的Windows更新中结束。

虽然微软以向后兼容性为傲，但阻止交叉签名驱动程序将影响一些传统用例和应用程序。为此，该政策将以"评估模式"推出，Windows内核将监控和审计驱动程序加载，以确定激活该政策是否会导致兼容性问题。

微软在2000年代初引入了交叉签名根程序，为第三方驱动程序启用代码完整性。然而，第三方管理签名程序，要求作者存储和保护与这些证书相关的私钥。据微软称，这"导致了滥用和凭证盗用，使我们的客户及其平台面临风险"。

Windows架构是否应该允许这种情况现在已经没有意义。现在的问题是在安全性和兼容性之间取得平衡。

微软表示："我们知道客户需要驱动程序和应用程序安全性，但这不能以牺牲兼容性和生产力为代价。"因此采用评估模式，并保持"重要且声誉良好的交叉签名驱动程序"在Windows中仍然受信任。

话虽如此，管理员仍可通过Business应用程序控制政策允许自定义内核驱动程序，以覆盖默认内核政策。微软预计这将用于机密或仅限内部的驱动程序场景，而不是支持传统设备或应用程序。

微软声明："该政策必须由设备安全启动平台密钥(PK)或密钥交换密钥(KEK)变量中的权威机构签名，以确保该政策仅适用于其环境。否则，针对Windows生态系统的驱动程序必须通过WHCP认证并通过Microsoft HDC门户签名。"

微软的这一决定酝酿已久，确实自从多年前弃用交叉签名根程序以来就在考虑。然而，这一认识并不会让那些使用现在被列入黑名单的驱动程序的用户变得更容易，供应商也不太可能或无法更新它们。虽然存在解决方法，但微软的决定清楚地表明了公司的发展方向。最终，微软将阻止任何未通过WHCP认证过程的代码进行基于内核的操作。

该变更将适用于Windows 11 24H2、25H2和26H1以及Windows Server 2025。

Q&A

Q1：什么是Windows硬件兼容性计划？它有什么作用？

A：Windows硬件兼容性计划(WHCP)是微软的一个认证程序，用于确保第三方驱动程序的代码完整性和安全性。通过该计划认证的驱动程序可以获得Windows系统的信任，未通过认证的驱动程序将被视为不安全。

Q2：微软为什么要移除对交叉签名驱动程序的信任？

A：交叉签名根程序由第三方管理，要求作者存储和保护私钥，这导致了滥用和凭证盗用问题，使客户及其平台面临安全风险。微软决定在2026年4月彻底移除对这些驱动程序的信任以提高系统安全性。

Q3：这项政策变更会影响哪些Windows版本？

A：该变更将适用于Windows 11 24H2、25H2和26H1版本以及Windows Server 2025。微软将先以"评估模式"推出，监控驱动程序加载情况，确定激活政策是否会导致兼容性问题。