微软之前为了让Windows内核更安全,决定不再信任那些没有通过WHCP的内核驱动。虽然以前为了兼容老设备,微软对用弃用的交叉签名根程序签名的驱动也给了信任,但因为证书过期了,现在想把这种情况改一改。到了2026年4月的更新里,系统就不再认这种驱动了。虽说微软看重老系统的兼容性,不过阻止这些交叉签名驱动可能会弄坏一些老程序。所以他们打算先以“评估模式”放出来试试,让系统去检查这些驱动到底会不会让软件没法用。 说起交叉签名根程序,那是2000年左右微软搞出来的东西,用来给第三方代码加保护。可因为要大家自己管私钥和证书的事,结果出现了好多坏人拿别人的凭证乱搞,把用户平台给坑了。现在微软觉得没必要再留这种风险。他们的意思是,为了让客户安全的同时又能干活,就得在安全和兼容之间找个平衡点。 虽然不直接封掉交叉签名驱动了,不过管理员还是能通过Business里的应用控制策略把自己的内核驱动放进去覆盖默认的设置。这种情况通常只会用在内部机密的环境里,不会拿来帮传统设备或软件干活。微软还特意说了,这个政策得用设备安全启动的PK或KEK这两个密钥给签个字才行,要不然就不管用。除了这个办法,生态系统里的驱动要是想在Windows里跑就得先过WHCP认证和Microsoft HDC门户的这一关。 其实微软早就在想怎么弄这事了,自从以前不维护那个交叉签名根程序开始就在盘算。虽然搞清楚了要改什么能让公司更安全,但这对那些还在用老驱动的人来说不一定好受——供应商大概率也不想或没法更新它们。虽然有办法能绕过,但这也很清楚地说明了公司发展的方向。最终微软还是要把所有没通过认证的内核代码都拦住不让用。这个改动会在Windows 11 24H2、25H2和26H1版本上生效,还有Server 2025也一样适用。