В этом году Microsoft решила сосредоточиться на улучшении качества Windows 11, в том числе на улучшении производительности операционной системы и исправлении проблем, на которые наиболее часто жалуются пользователи. Также компания решила внести важное изменение в механизмах безопасности ядра, которое призвано повысить безопасность и стабильность Windows.
Microsoft объявила, что вскоре Windows перестанет по умолчанию исполнять драйверы, подписанные с помощью старой программы перекрестных сертификатов. Эта программа была создана в начале 2000-х годов и позволяла сторонним партнерам подписывать код с помощью сертификатов, являющихся доверенными в Windows. Поддержка этой программы прекращена в 2021 году, срок действия всех выданных сертификатов истёк, но ядро по-прежнему считает их доверенными.
С апреля 2026 года ядро Windows будет принимать только те драйверы, подписанные в рамках Windows Hardware Compatibility Program (WHCP). По новым правилам каждый драйвер будет обязательно сканироваться на наличие вирусов и проходить тесты Hardware Lab Kit (HLK), а финальная цифровая подпись будет выдаваться только защищенными сертификатами Microsoft. При этом для сохранения совместимости Microsoft создаст специальный «белый список». В него попадут старые, но проверенные драйверы, которые система по-прежнему будет исполнять. Новые правила будут применяться для Windows 11 версий 24H2, 25H2, 26H1, Windows Server 2025 и всех последующих версий.
Microsoft понимает, что корпоративные клиенты часто используют специфическое и порой устаревшее оборудование, для которого требуются старые драйверы. Именно поэтому новая политика изначально запустится в режиме аудита, который будет наблюдать за работой системы. Система будет оставаться в этом режиме, пока не будут выполнены следующие условия:
| Критерий | Метрика |
| Часы работы | Windows 11 — 100 часов Windows Server 2025 — 100 часов |
| Количество перезагрузок ОС | Windows 11 — 3 перезагрузки Windows Server 2025 — 2 перезагрузки |
Если за это время система обнаружит, что пользователь использует несовместимый устаревший драйвер, таймер оценки просто сбросится. Система будет оставаться в режиме аудита до тех пор, пока алгоритмы не определят, что блокировка не приведёт к проблемам в работе.
Кроме этого, IT-администраторы смогут вручную отменить этот запрет с помощью инструмента Application Control for Business (ранее WDAC). Это будет особенно актуально в тех сценариях, когда компании требуется использовать уникальные кастомные драйверы, написанные для внутренних нужд.
Более подробную информацию об изменениях можно прочитать в блоге Windows IT Pro Blog по этой ссылке.
