Microsoft изменит политику ядра Windows

Microsoft пообещала учесть основные жалобы пользователей на Windows 11 и усовершенствовать производительность операционной системы. Теперь компания решила сделать ещё один шаг в повышении безопасности и общей надёжности ОС за счёт изменений политики ядра.

Microsoft объявила, что вскоре удалит возможность загрузки по умолчанию драйверов ядра, подписанных устаревшей программой перекрёстной подписи корневого сертификата. Это программа, введенная в начале 2000-х годов, которая позволяла предоставлять доверенные Windows сертификаты подписи кода после проверки сторонними партнёрами. Microsoft прекратила её поддержку в 2021 году, и все сертификаты, выданные в рамках этого процесса, с тех пор утратили свою актуальность, но по-прежнему доверяются ядру и сохраняются в некоторых сценариях.

Однако с апреля 2026 года движок ​​Windows будет принимать только драйверы, подписанные в рамках программы совместимости оборудования Windows (WHCP). По соображениям совместимости Microsoft по-прежнему будет поддерживать явный список разрешений, который позволит ядру скачивать старые, но проверенные драйверы, прошедшие перекрёстную проверку в контексте программы root. 

Это новое подход будет применяться к Windows 11 24H2, 25H2, 26H1, Windows Server 2025 и всем будущим клиентским и серверным версиям Windows.

Тем не менее Microsoft понимает, что в некоторых средах могут использоваться устаревшие драйверы по соображениям совместимости. Именно следовательно новая политика доверия ядра будет первоначально запускаться в ознакомительном режиме, который будет отслеживать и проверять время работы системы и количество загрузок на протяжении определенного периода времени. Организация также позволит настроить политику управления приложениями для бизнеса (ранее WDAC) для переопределения политики ядра по умолчанию. Это особенно полезно в сценариях, когда организация хочет загрузить пользовательские драйверы, разработанные для внутреннего использования. 

Microsoft отметила, что продолжит добавление новой политики ядра с апреля 2026 года, но подчеркнула, что будет продолжать отслеживать отзывы клиентов для улучшения работы системы. Сейчас политика доверия основана на миллиардах телеметрических сигналов, полученных с устройств Windows 11 и Windows Server 2025 за последние несколько лет.

Ранее организация выпустила исправление для критической сетевой уязвимости и сообщила о скором переходе ко второму этапу усиления безопасности Windows Deployment Services (WDS). Теперь она начала блокировать функцию автоматической установки Windows 11 и Server 2025. В дальнейшем ожидается, что Microsoft продолжит поэтапно отказываться от устаревших рабочих процессов WDS в пользу более безопасных способов.