Windows内核策略重大调整：沿用二十年的旧驱动将被彻底禁用

微软官方公告显示，从2026年4月开始，Windows内核将默认不再加载由旧版交叉签名根程序签名的驱动程序，这标志着一项已延续二十余年的内核信任策略即将终结。

所谓交叉签名根程序，是微软于2000年代初期推出的一项机制，该机制允许第三方合作伙伴在通过审核后，获得受Windows信任的代码签名证书。

微软在2021年就已正式让该程序退役，通过该流程签发的所有证书都已过期，不过Windows内核到现在依然默认信任这些旧证书，在部分场景里还是能加载相关驱动。

按照新政策的要求，Windows内核今后仅会接收经过Windows硬件兼容性计划（WHCP）签名认证的驱动程序。

该政策将适用于Windows 11 24H2、25H2、26H1、Windows Server 2025以及所有后续的客户端和服务器版本。

不过微软也做了后手准备，会维护一份白名单，允许内核加载那些经过交叉签名根程序审核、信誉良好的旧版驱动，以此来保障兼容性。

考虑到部分企业环境可能依赖旧版驱动，微软将新内核信任策略的初始阶段设定为评估模式，在此阶段仅对系统运行时间与启动次数开展监控审计工作，不会立刻采取阻断措施。

同时，用户依旧能够通过配置Application Control for Business（其前身为WDAC）策略，来对默认内核策略进行覆盖，这对于那些需要加载内部自研驱动的组织而言，是特别实用的。

微软称，新政策是依据过去几年从Windows 11与Windows Server 2025设备收集的数十亿条遥测数据制定的，之后会根据用户的反馈不断进行优化。