微新创想:2026年4月起,微软将在Windows 11 24H2及Windows Server 2025等新系统中,默认拦截传统交叉签名驱动,全面强制使用Windows Hardware Compatibility Program(WHCP)认证驱动。这一变化标志着微软在系统安全性和驱动管理方面迈出了重要一步。
微软此举旨在消除因过期交叉签名证书遗留的安全风险。交叉签名驱动虽然在过去提供了便利,但随着时间推移,其证书可能已过期或被篡改,从而带来潜在的安全隐患。通过强制使用WHCP认证驱动,微软能够确保所有硬件驱动都符合最新的安全标准。
新规初期将以评估模式运行,系统将自动监控启动状态,帮助用户和企业逐步适应新的驱动管理方式。这一模式允许在不完全禁用传统驱动的情况下,进行测试和调整,减少对现有系统的冲击。
白名单机制允许加载经审核的优质旧版驱动。这意味着,对于某些特定的硬件设备,如果其驱动经过严格审查并被认为安全可靠,仍然可以在新系统中使用。这一机制为用户提供了灵活性,同时保障了系统的整体安全性。
企业IT管理员可以通过WDAC策略临时绕过限制。WDAC(Windows Driver Signing Enforcement)策略是微软提供的一种工具,可以帮助企业根据自身需求定制驱动签名策略。这一功能使得企业在过渡期间能够更灵活地管理驱动兼容性问题。
实施范围覆盖所有新部署及更新设备。无论是个人用户还是企业用户,只要使用微软的新系统版本,都将受到这一新规的影响。微软希望通过这一措施,提升整个Windows生态系统的安全性和稳定性。
