微软这次下了狠心,彻底改了Windows内核的规则。根据最新发布的公告,从2026年4月开始,系统默认会拒绝加载那些用旧版交叉签名根程序签过字的驱动程序。这就把延续了整整20年的旧内核信任政策给断了。大家可能还记得那个交叉签名根程序,它是微软在2000年代初搞出来的,让合作伙伴可以通过审核拿到Windows信任的证书。虽然微软在2021年就宣布停用了那个程序,所有相关证书也过期了,但系统到现在还是默认信任这些老证书,有时候还是能加载相关驱动。 这次微软换了个新规矩,系统只认通过Windows硬件兼容性计划(WHCP)签过字的驱动。这个政策会影响到Windows 11 24H2、25H2、26H1,还有Windows Server 2025,以及之后的所有客户端和服务器版本。不过微软也给了个台阶下,准备弄个白名单,专门留着那些信誉好的旧驱动。因为有些企业还在用旧版驱动,所以这个新政策刚开始是个评估模式,不会立刻拦住系统,只是盯着运行时间和启动次数看。同时大家还可以用Application Control for Business策略(以前叫WDAC)来覆盖默认设置,特别适合那些要加载自家内部驱动的组织用。微软说这次改动是根据过去几年从Windows 11和Windows Server 2025设备上收集的大量数据定的。 按照这次快科技3月29日的报道,微软的这次动作其实是从2000年就埋下了伏笔。以前的交叉签名根程序是给第三方的一个绿色通道,但随着时间推移和技术进步,微软觉得不能再让这种旧机制继续下去了。特别是在2021年彻底停掉之后,这事情其实就已经定下来了。现在到了2026年4月终于要落实的时候了,大家对兼容性可能有些担心。但只要用Windows硬件兼容性计划(WHCP)签好字的驱动就能正常用。所以那些还在用旧版的企业得赶紧想办法了。 再说回这次具体的变更时间点:Windows 11 24H2、25H2、26H1这几个版本还有Windows Server 2025都会受影响。至于更往后的版本就不用说了。不过微软还是留了一手:它们会维护一份白名单给那些信誉好的旧驱动留个口子。之所以这么做是为了照顾那些还离不开旧驱动的企业环境。至于评估模式这块儿也比较人性化:刚开始只是盯着时间和次数看并不会直接拦截。 当然了如果你有特殊需求还是可以用Application Control for Business策略来自定义设置的。像那些内部自研的驱动只要配好策略就能顺利加载了。这背后的逻辑很简单:过去几年里微软收集了海量的数据信号然后才做的这个决定。而且以后还会根据大家的反馈去不断优化这个政策。