快科技 3 月 29 日消息，据微软官方公告，自 2026 年 4 月起，Windows 内核将默认拒绝加载通过旧版交叉签名根程序签名的驱动程序，这意味着一项延续超过 20 年的内核信任策略即将画上句号。

所谓交叉签名根程序，是微软在 2000 年代初推出的一项机制，允许第三方合作伙伴在经过审核后获取 Windows 信任的代码签名证书。

微软已于 2021 年正式退役该程序，所有通过该流程签发的证书均已过期，但 Windows 内核至今仍默认信任这些旧证书，部分场景下仍可加载相关驱动。

根据新政策，Windows 内核将只接受通过 Windows 硬件兼容性计划（WHCP）签名的驱动程序。 

该政策将适用于 Windows 11 24H2、25H2、26H1、Windows Server 2025 及所有未来的客户端和服务器版本。

不过微软也留了后手，会维护一份白名单，允许内核加载经过交叉签名根程序审核、信誉良好的旧版驱动，以确保兼容性。

考虑到部分企业环境可能依赖旧版驱动，微软将新内核信任策略的初始阶段设为评估模式，仅对系统运行时间和启动次数进行监控审计，不会立即阻断。

同时，用户仍可通过配置 Application Control for Business（前身为 WDAC）策略来覆盖默认内核策略，这对于需要加载内部自研驱动的组织尤为实用。

微软表示，新政策基于过去数年间从 Windows 11 和 Windows Server 2025 设备采集的数十亿条遥测信号制定，后续将根据用户反馈持续优化。