嘿,最近微软搞了个大动作,直接把老路子给堵死了。从2026年4月开始,Windows的核心层也就是那个Server,干脆就不认以前那种交叉签名根程序签的证书了。这可不得了,要是往前倒推20年,也就是2000年那会儿,微软为了让大家伙儿都能开发驱动,特意搞了个宽进宽出的机制。说白了就是让第三方随便来,只要过了个简易审核就能拿个内核级别的信任证书。 这一招在当年确实很管用,促进了生态繁荣,但放到现在这网络环境这么复杂的日子里,它就变成了个大隐患。虽然微软早在2021年就把那个老程序退役了,证书也早就过期了,但为了不搞坏老机器的兼容性,内核到现在还傻乎乎地信这些过期的老东西。这就导致好多老旧的、甚至是恶意的驱动还能钻空子混进去搞破坏。 微软这次是下定决心要把这根潜伏多年的后门彻底堵上了。新规矩定下以后,只有那些通过了Windows硬件兼容性计划(WHCP)这个超级严格审核的驱动才能加载。这可不仅是针对最新的系统版本,像Windows 11 24H2、25H2、26H1还有Server 2025这些客户端和服务器的新版本都得遵守。 大家担心搞这么大动作会不会让机器没法用?其实微软挺有分寸的,没上来就一刀切。他们弄了三重保险来缓冲这一下: 第一是弄了个白名单护城河,对于那些以前信誉好、一直在用的老驱动,内核还是会放行的; 第二是先让系统进入静默评估模式,不直接拦截程序,只是偷偷在后台看数据和运行情况; 第三就是给IT管理员留了一手高级权限,大家可以用Application Control for Business(以前叫WDAC)来手动放行企业内部的自研软件。 微软说这事儿可不是拍脑袋决定的,而是看了近几年从Windows 11和Server 2025上收来的几十亿条真实数据才做的决定。眼看着2026年4月的日子越来越近了,这波底层安全革命应该会在平稳过渡中把生态搞健康点。