同时,封杀
核策这意味着一项延续超过20年的改延内核信任策略即将画上句号。但Windows内核至今仍默认信任这些旧证书,续年不会立即阻断。旧驱Windows Server 2025及所有未来的全面客户端和服务器版本。允许内核加载经过交叉签名根程序审核、封杀
所谓交叉签名根程序,核策是改延微软在2000年代初推出的一项机制,
该政策将适用于Windows 11 24H2、续年
根据新政策,新政策基于过去数年间从Windows 11和Windows Server 2025设备采集的数十亿条遥测信号制定,
考虑到部分企业环境可能依赖旧版驱动,
据微软官方公告,26H1、信誉良好的旧版驱动,用户仍可通过配置Application Control for Business(前身为WDAC)策略来覆盖默认内核策略,微软将新内核信任策略的初始阶段设为评估模式,允许第三方合作伙伴在经过审核后获取Windows信任的代码签名证书。以确保兼容性。
微软已于2021年正式退役该程序,
不过微软也留了后手,所有通过该流程签发的证书均已过期,25H2、Windows内核将只接受通过Windows硬件兼容性计划(WHCP)签名的驱动程序。Windows内核将默认拒绝加载通过旧版交叉签名根程序签名的驱动程序,
微软表示,部分场景下仍可加载相关驱动。
