微软周四（3月26日）宣布，将取消对旧版交叉签名驱动程序的默认信任。未来，Windows内核仅允许通过Windows硬件兼容性计划（WHCP）认证并由微软签名的驱动程序加载。该变更将随2026年4月的Windows更新推出，适用于Windows 11 24H2、25H2、26H1及Windows Server 2025，后续版本也将全面强制执行。

交叉签名驱动程序是微软在2000年代初期为扩大硬件生态而采用的过渡机制，允许第三方开发者通过证书颁发机构（CA）获取代码签名证书，再借助微软的信任链完成交叉签名，从而在未经微软审核的情况下被Windows内核加载。这种设计虽降低了开发门槛，但因证书泄露和滥用问题，逐渐成为恶意软件渗透Windows内核层的攻击入口之一。

尽管微软已于2021年淘汰交叉签名机制，相关证书也已过期，但部分交叉签名驱动程序仍被Windows系统默认信任，形成潜在安全风险。

微软现已转向WHCP作为主要的驱动程序验证与签名体系。WHCP要求驱动程序必须通过硬件实验室工具包（HLK）测试、恶意软件扫描及开发者身份验证，并由微软使用官方证书进行签名，以确保其安全性与兼容性。

此次更新的核心是正式撤销对交叉签名机制的信任。微软表示，未来仅允许通过WHCP认证的驱动程序默认加载，同时保留一份允许列表，仅包含少数广泛使用且经过验证无安全风险的交叉签名驱动程序。

该允许列表是微软通过分析过去两年Windows 11和Windows Server 2025中数十亿次驱动加载信号与使用场景，识别出在真实环境中被频繁加载且未发现安全威胁的交叉签名驱动程序后建立的，旨在提升安全性的同时保障系统兼容性。

不过，即使在4月更新后，系统也不会立即阻止交叉签名驱动程序，而是先进入评估模式进行观察。在约100小时运行和多次重启期间，系统将监测驱动加载情况；若所有驱动均符合新政策，系统将自动切换至强制模式，否则将继续保持评估状态。这一设计可避免因直接阻止而导致系统无法启动或硬件失效的问题。

此外，为保留企业环境的灵活管控能力，企业用户仍可通过“应用程序控制”（原WDAC）自定义策略，允许内部或特殊用途的驱动程序运行，并通过UEFI安全启动中的平台密钥（PK）或密钥交换密钥（KEK）进行签名，确保仅在特定环境中生效，不影响整体系统安全。