Microsoft пообещала учесть основные жалобы пользователей на Windows 11 и улучшить производительность операционной системы. Теперь компания решила сделать ещё один шаг в повышении безопасности и общей надёжности ОС за счёт изменений политики ядра.
Microsoft объявила, что вскоре удалит возможность загрузки по умолчанию драйверов ядра, подписанных устаревшей программой перекрёстной подписи корневого сертификата. Это программа, введенная в начале 2000-х годов, которая позволяла предоставлять доверенные Windows сертификаты подписи кода после проверки сторонними партнёрами. Microsoft прекратила её поддержку в 2021 году, и все сертификаты, выданные в рамках этого процесса, с тех пор утратили свою актуальность, но по-прежнему доверяются ядру и сохраняются в некоторых сценариях.
Однако с апреля 2026 года ядро Windows будет принимать только драйверы, подписанные в рамках программы совместимости оборудования Windows (WHCP). По соображениям совместимости Microsoft по-прежнему будет поддерживать явный список разрешений, который позволит ядру загружать старые, но проверенные драйверы, прошедшие перекрёстную проверку в рамках программы root.
Это новое решение будет применяться к Windows 11 24H2, 25H2, 26H1, Windows Server 2025 и всем будущим клиентским и серверным версиям Windows.
Однако Microsoft понимает, что в некоторых средах могут использоваться устаревшие драйверы по соображениям совместимости. Именно поэтому новая политика доверия ядра будет первоначально запускаться в ознакомительном режиме, который будет отслеживать и проверять время работы системы и количество загрузок в течение определенного периода времени. Компания также позволит настроить политику управления приложениями для бизнеса (ранее WDAC) для переопределения политики ядра по умолчанию. Это особенно полезно в сценариях, когда организация хочет загрузить пользовательские драйверы, разработанные для внутреннего использования.
Microsoft отметила, что продолжит внедрение новой политики ядра с апреля 2026 года, но подчеркнула, что будет продолжать отслеживать отзывы клиентов для улучшения работы системы. На данный момент политика доверия основана на миллиардах телеметрических сигналов, полученных с устройств Windows 11 и Windows Server 2025 за последние несколько лет.
Ранее компания выпустила исправление для критической сетевой уязвимости и сообщила о скором переходе ко второму этапу усиления безопасности Windows Deployment Services (WDS). Теперь она начала блокировать функцию автоматической установки Windows 11 и Server 2025. В дальнейшем ожидается, что Microsoft продолжит поэтапно отказываться от устаревших рабочих процессов WDS в пользу более безопасных способов.
