🖥️較早收集於 22m

Windows 封鎖舊版核心驅動程式

Windows 封鎖舊版核心驅動程式
PostLinkedIn
🖥️閱讀原文: Computerworld

💡Windows 封鎖舊驅動:AI 開發者檢查硬體相容性,避免 2026 中斷

⚡ 30-Second TL;DR

有什麼變化

針對已廢棄交叉簽署根程式的核心驅動程式移除信任

為什麼重要

此更新可能中斷使用舊版硬體的 AI 開發環境,迫使更新驅動程式。企業需評估相容性以避免部署延遲。提升 Windows 核心安全,有利於安全 AI 工作負載。

下一步行動

使用 sigverif.exe 檢查 Windows 核心驅動程式簽署,並更新非 WHCP 驅動至最新版。

誰應關注:Developers & AI Engineers

關鍵要點

  • 針對已廢棄交叉簽署根程式的核心驅動程式移除信任
  • 2026 年 4 月以評估模式於 Windows 11 24H2+ 及 Server 2025 推出
  • 評估期需 100 小時運行及 2-3 次開機,若無不信任驅動則啟用封鎖
  • 解決憑證盜竊及禁用防毒等濫用風險

🧠 深度解析

AI-generated analysis for this event.

🔑 增強重點摘要

  • 此項變更主要針對使用舊版 Microsoft 交叉簽署憑證(Cross-Signing Certificates)的驅動程式,這些憑證在 2021 年後已停止簽發,但仍被惡意軟體用於繞過 Windows 驅動程式簽章強制執行(DSE)機制。
  • 微軟引入了『驅動程式封鎖清單』(Driver Blocklist)機制,該清單會透過 Windows Update 定期更新,以動態方式封鎖已知存在漏洞或被惡意利用的驅動程式,而不僅僅是針對憑證過期。
  • 企業環境中,系統管理員可透過 Windows Defender 應用程式控制(WDAC)或群組原則(GPO)來管理這些封鎖策略,以避免舊版工業控制軟體或特殊硬體驅動程式在強制執行後無法運作。

🛠️ 技術深入

  • 核心機制:利用 Windows 核心模式程式碼簽章(Kernel-Mode Code Signing, KMCS)強制執行,拒絕載入未經 Windows 硬體相容性計畫(WHCP)簽署的二進位檔案。
  • 憑證鏈驗證:系統將檢查驅動程式的數位簽章鏈,若鏈結至已廢棄的交叉簽署根憑證(如舊版 Microsoft 根憑證授權),則驗證失敗。
  • 評估模式(Audit Mode):系統會記錄不符合規範的驅動程式載入嘗試,但不會立即阻止其執行,直到滿足 100 小時運行與多次重啟的穩定性門檻。
  • 封鎖清單更新:透過 SiPolicy.p7b 檔案或 Windows Update 傳遞的 DriverSiPolicy 更新,實現對特定驅動程式雜湊值(Hash)的精確封鎖。

🔮 前景展望AI analysis grounded in cited sources

舊版工業與醫療設備的維護成本將顯著上升。
依賴舊版驅動程式的專有硬體將被迫進行韌體升級或尋求替代方案,否則將無法在更新後的 Windows 系統上執行。
惡意軟體開發者將轉向利用合法但有漏洞的驅動程式(BYOVD)。
隨著未簽署驅動程式被全面封鎖,攻擊者將更傾向於尋找已通過 WHCP 驗證但存在已知漏洞的合法驅動程式進行攻擊。

時間線

2019-07
微軟宣布逐步淘汰舊版交叉簽署憑證,要求所有新驅動程式必須透過 Windows 硬體開發人員中心進行簽署。
2021-01
微軟正式停止簽發新的交叉簽署憑證,並要求所有核心模式驅動程式必須使用 Windows 10 簽署流程。
2022-10
微軟在 Windows 11 22H2 中預設啟用記憶體完整性(HVCI),進一步限制不安全驅動程式的載入。
2024-10
微軟發布 Windows 11 24H2,強化驅動程式封鎖清單機制,為後續全面移除舊憑證信任奠定基礎。
📰

AI 週報

閱讀本週精選 AI 大事摘要 →

👉相關動態

AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: Computerworld