微软正在加强Windows 11的安全性。自2026年4月起,过时的内核驱动程序将被逐步淘汰——这是该公司针对一个困扰Windows系统多年的知名安全漏洞所采取的应对措施。
在一篇面向Windows IT专业人士的博客文章中,微软宣布将不再信任通过已弃用的“交叉签名根程序”签署的驱动程序。这一程序可追溯至二十一世纪初,长期以来一直被视为允许第三方驱动程序进入Windows内核的标准做法。
问题在于,认证由外部机构执行,仅提供有限的安全检查。这导致了滥用和签名密钥被盗,为被篡改的驱动程序打开了方便之门。尽管该程序早在2021年就已停止,但Windows系统至今仍继续接受许多这类旧驱动程序。
现在,仅允许经过验证的驱动程序。今后,Windows系统默认将只允许通过官方Windows硬件兼容计划认证的内核驱动程序。这些驱动程序由微软进行恶意软件和兼容性等多方面检查。
此举旨在显著增加恶意代码注入操作系统最敏感部分——内核的难度。微软还强调,新政策基于广泛的遥测数据,特别是从过去两年数十亿次驱动程序加载操作中提取的数据。开发者的反馈也已纳入实施过程中。
此次部署将逐步进行。尽管公告已于昨日发布,但变更不会立即生效。微软将首先为个人电脑启动所谓的“评估模式”,具体内容如下:
Windows内核将监控和审核所有驱动程序加载,以确定是否可以在不因阻止关键的交叉签名驱动程序而导致兼容性问题的情况下,安全地激活新的信任策略。
系统将保持在评估模式,直到满足所有评估标准。对于Windows 11,这意味着系统需运行100小时并至少重启3次。
如果在评估期间加载的所有驱动程序都符合内核策略的信任要求,系统将激活并强制执行新的内核信任策略。强制执行新策略的系统将受到保护,免受来自交叉签名程序且不符合内核信任策略的非受信驱动程序的侵害。
如果在评估期间审核发现任何交叉签名驱动程序,并确定其无法通过新的内核信任策略,则该策略不会被激活,系统保持评估状态,且评估期将重置。系统将停留在评估模式,直到不再审核到阻碍启用的驱动程序。
重要提示:检测到不兼容驱动程序的系统目前将保持在诊断模式,不会受到完整过渡的影响。
例外情况和特殊规则。新政策并非完全没有妥协:微软将引入一份例外列表,其中包括被归类为可信赖且旨在继续运行的旧版驱动程序。企业也可以定义自己的规则。特殊策略允许内部或自定义开发的驱动程序在严格受控的条件下继续使用。为此,微软提供了Windows应用程序控制功能,该功能允许组织有选择地批准其自身或非官方认证的驱动程序。
哪些Windows版本会受到影响?新的安全策略适用于:
Windows 11版本24H2及更高版本。
Windows Server 2025。
部署将从2026年4月的更新开始,此后将成为新Windows版本的永久性功能。
更高的安全性,潜在的副作用。对于用户而言,这一变化主要意味着一件事:使用Windows 11时的安全性更高。通过此策略,利用被篡改或不安全驱动程序发起的攻击将变得困难得多。
但个别用户可能会遇到意想不到的问题,例如,如果非常旧的硬件依赖于不再受支持的驱动程序。微软正通过分阶段部署和例外情况来限制这种风险。
