Microsoft ужесточает политику драйверов в Windows 11: старые сертификаты перестанут работать
Microsoft меняет многолетнюю политику ядра Windows и ужесточает требования к драйверам в Windows 11. Компания откажется от доверия к драйверам, подписанным по устаревшей схеме перекрёстных сертификатов, что должно повысить стабильность и безопасность системы, особенно в корпоративной среде.
Начиная с апреля 2026 года ядро Windows будет принимать по умолчанию только драйверы, подписанные в рамках программы Windows Hardware Compatibility Program (WHCP). Каждый такой драйвер обязан проходить проверку антивирусом, тестирование с помощью Hardware Lab Kit (HLK), а финальная цифровая подпись будет выдаваться только защищёнными сертификатами Microsoft. Новые правила распространяются на Windows 11 24H2, 25H2, 26H1, Windows Server 2025 и все последующие клиентские и серверные версии.
Устаревшая программа кросс-сертификатов, действовавшая с начала 2000‑х годов, была свёрнута в 2021 году, а срок действия всех выданных сертификатов истёк. Однако ядро Windows до сих пор считало такие сертификаты доверенными, поэтому некоторые старые драйверы продолжали выполняться. Теперь эта лазейка будет закрыта, хотя Microsoft сохранит специальный «белый список» проверенных устаревших драйверов, которые по-прежнему будут поддерживаться для обеспечения совместимости.
Понимая специфику корпоративного сегмента, где часто используются старые устройства и кастомные драйверы, Microsoft введёт новые правила в режиме аудита. Система будет учитывать часы работы и количество перезагрузок: для Windows 11 требуется минимум 100 часов работы и не менее 3 перезагрузок, для Windows Server 2025 — 100 часов и 2 перезагрузки. Если в этот период будет обнаружен несовместимый драйвер, таймер оценки сбросится, и режим аудита продолжится до тех пор, пока блокировка не станет безопасной для системы.
Администраторы корпоративных сетей смогут вручную переопределять новую политику ядра с помощью инструмента Application Control for Business (ранее WDAC). Это позволит разрешать использование сторонних и внутренних драйверов, критичных для работы специфического оборудования. Для современной Windows 11, требующей 64‑разрядный процессор, TPM 2.0 и безопасную загрузку UEFI, ужесточение политики подписывания драйверов логично вписывается в курс Microsoft на повышение надёжности и общей безопасности платформы.
