Windows内核策略发生巨变：持续使用二十载的旧驱动将遭全面封禁

发布时间：2026-04-04 09:00:45

根据微软官方发布的公告，从2026年4月开始，Windows内核会默认阻止加载那些经由旧版交叉签名根程序进行签名的驱动程序，这标志着一项已持续二十余年的内核信任策略即将终结。

所谓交叉签名根程序，是微软于2000年代初期推出的一种机制，它允许第三方合作伙伴在通过审核后，获得受Windows信任的代码签名证书。

微软已于2021年正式退役该程序，所有通过该流程签发的证书均已过期，但Windows内核至今仍默认信任这些旧证书，部分场景下仍可加载相关驱动。

根据新政策，Windows内核将只接受通过Windows硬件兼容性计划(WHCP)签名的驱动程序。

该政策将适用于Windows 11 24H2、25H2、26H1、Windows Server 2025及所有未来的客户端和服务器版本。

不过微软也留了后手，会维护一份白名单，允许内核加载经过交叉签名根程序审核、信誉良好的旧版驱动，以确保兼容性。

考虑到部分企业环境可能依赖旧版驱动，微软将新内核信任策略的初始阶段设为评估模式，仅对系统运行时间和启动次数进行监控审计，不会立即阻断。

同时，用户仍可通过配置Application Control for Business(前身为WDAC)策略来覆盖默认内核策略，这对于需要加载内部自研驱动的组织尤为实用。

微软称，新政策是依据过去几年从Windows 11和Windows Server 2025设备收集的数十亿条遥测信号制定的，之后会根据用户的反馈不断进行优化。