所谓交叉签名根筹划,是微软在 2000 年代早期推出的一项机制,许可经由第三方合作伙伴审核的代码签名证书被体系内核视作可托,从而使相干驱动在内核态加载。 微软已于 2021 年正式退役该筹划,此后经由过程该渠道签发的所有证书也已到期,但在部分场景中,这些证书在 Windows 内核中仍被算作可托对象而持续生效。
根据最新颁布的筹划,自 2026 年 4 月起,Windows 内核将只接收经由过程 Windows 硬件兼容性筹划(Windows Hardware Compatibility Program,WHCP)签名的驱动法度榜样。 与此同时,出于兼容性推敲,微软仍将保护一份显式“许可列表”,将部分汗青悠长但信用优胜、且曾经由过程交叉签名根筹划审核的旧驱动纳入白名单,使其在新策略下仍可被内核加载。 新策略实用于 Windows 11 24H2、25H2、26H1、Windows Server 2025 以及之后的所有 Windows 客户端与办事器版本。
推敲到不少企业与特定行业情况仍依附老旧驱动以保持症毕营业体系的正常运行,微软表示,新内核信赖策略将先以“评估模式”上线,在一段时光内对体系运行小时数和启动情况进行监控与审计,而不会急速强迫阻断相干驱动。 在此基本上,企业治理员还可以经由过程设备“企业应用控制”(Application Control for Business,前身为 WDAC)策略,对默认的内核信赖策略进行覆盖,用于在特定场景下加载内部自研或定制驱动。
微软强调,这一新内核策略将自 2026 年 4 月起分阶段持续推送,并会在实施过程中密切存眷客户反馈,进一步优化实际体验。 官方表示,今朝为策划这套内核信赖机制所应用的许可列表与规矩,基于以前数年间从 Windows 11 与 Windows Server 2025 设备收集到的数十亿条遥测数据旌旗灯号,以在安然性与兼容性之间取得相对均衡。
发表评论 取消回复