打开网易新闻 查看精彩图片

2026年4月,全球超过1.5亿台运行Windows 11的设备将收到一次静默却致命的系统更新。不是新功能,不是界面改动,而是一道针对驱动程序的"安检门"——从此,那些靠"走后门"签名的内核驱动,将被系统直接拒之门外。

一个20年前的"方便之门",成了黑客的高速公路

一个20年前的"方便之门",成了黑客的高速公路

要理解这次变动的分量,得先回到2000年代初。那时的Windows生态像一座正在扩建的城市,硬件厂商们拿着各自的"施工许可证"——由第三方证书机构签发的代码签名证书——就能让驱动程序住进系统内核这个"核心城区"。

微软把这个机制叫做交叉签名根证书计划(cross-signed root program)。设计初衷很务实:降低开发者门槛,让更多硬件快速兼容Windows。但问题在于,这套系统只验证"你是谁",从不检查"你的代码安不安全"。

开发者自己保管私钥,证书机构也不审核代码质量。结果?私钥泄露事件频发,攻击者盗用合法证书给rootkit(一种深度隐藏的攻击工具)披上合法外衣,大摇大摆住进内核。微软安全团队后来承认,这是Windows内核被渗透的最常见路径之一。

2021年,微软正式废弃这个计划,所有相关证书陆续过期。但出于兼容性考虑,Windows系统仍默许这些"过期证件"通行——就像明知某张门禁卡已被复制多份,却怕老员工进不来,迟迟不改密码。

明年4月的"断网行动":只有微软盖章才算数

明年4月的"断网行动":只有微软盖章才算数

2026年4月更新后,规则彻底改写。

Windows 11和Windows Server 2025将默认屏蔽所有未经Windows硬件兼容性计划(Windows Hardware Compatibility Program)认证的驱动程序。想进内核?必须通过微软的完整流水线:身份背景审查、严格的兼容性测试、恶意软件扫描,最终拿到微软自己持有的受保护证书。

打开网易新闻 查看精彩图片

这套流程的严格程度,堪比从"自助登记"升级为"机场安检"。厂商不能再找第三方机构"代开证明",必须直面微软的审查。

但微软也留了几扇应急门。对于极少数声誉卓著、广泛使用的交叉签名驱动,系统会内置一份显式许可名单。这不是后门,而是防止关键硬件集体罢工的保险栓——毕竟,某些工业设备、医疗仪器的驱动更新周期以年为单位。

最狠的设计:系统自己也不敢轻举妄动

最狠的设计:系统自己也不敢轻举妄动

真正体现微软谨慎的,是这次部署的"评估模式"机制。

更新推送后,Windows内核不会立即强制执行拦截。相反,它会进入一段观察期,持续审计驱动加载信号,收集运行时数据。只有当系统满足特定的运行时长和重启次数阈值后,拦截才会真正生效。

更微妙的是反馈回路:如果审计阶段检测到任何不支持的驱动程序,系统会重置评估计时器,推迟强制执行。这相当于说:"我发现这里有不明物体,再观察一轮,确认不会炸再动手。"

这种设计在微软的安全更新中并不常见。通常,安全补丁讲究的是"快、准、狠"。但这次涉及内核——系统最底层的运行环境——一次误判可能导致蓝屏、设备变砖,甚至关键基础设施停摆。微软显然吸取了过往教训:2023年某次内核级更新就曾导致部分企业打印服务崩溃,舆论反噬剧烈。

企业用户的"特权通道":自己给自己发证

企业用户的"特权通道":自己给自己发证

对于拥有自研驱动的企业,微软提供了合规的绕行方案。

打开网易新闻 查看精彩图片

通过商业应用控制(Application Control for Business)策略,企业管理员可以用根植于设备UEFI安全启动变量的权威证书,对内部策略进行签名。系统识别到这份签名后,会放行指定的私有签名驱动。

关键在于权限隔离:攻击者无法随意加载恶意驱动,因为他们没有企业的私钥;而企业的合法运维不受影响,因为策略本身受硬件级安全机制保护。

这套方案的成本不低。企业需要建立自己的证书基础设施,或者与微软深度合作。但对于金融、能源、医疗等对内核安全极度敏感的行业,这是可接受的合规成本。

谁在真正买单?

谁在真正买单?

表面看,这是微软单方面收紧生态。但冲击波会沿着产业链传导。

中小硬件厂商首当其冲。过去,花几百美元找第三方机构签个名就能上线;现在必须投入数月时间通过微软认证,测试成本和时间成本陡增。部分长尾硬件——尤其是那些销量低、利润薄的老旧设备——可能直接被放弃支持。

企业IT部门面临审计压力。需要全盘梳理现有环境中的驱动来源,识别哪些依赖交叉签名证书,制定迁移或替换计划。微软的评估模式提供了缓冲期,但缓冲期不会无限延长。

安全研究者则持谨慎乐观。内核驱动攻击是高级持续性威胁(APT)的标配手段,封堵这一路径确实能抬高攻击成本。但历史经验表明,防御升级总会催生新的绕过技术——比如直接针对微软认证流程本身的供应链攻击。

微软尚未公布具体有多少驱动程序会受影响的统计数据。但参考2021年证书过期时的行业估算,仍有数千款活跃驱动依赖交叉签名机制,覆盖从工业控制器到消费级外设的广泛场景。

2026年4月之后,这些驱动中的大部分将需要重新认证,或者被用户手动添加到例外名单——而后者在企业环境中通常被组策略禁止。换句话说,硬件的生命周期和软件的安全政策,正在被迫同步。

当系统内核开始拒绝"熟人介绍",只认"官方盖章",那些还在用20年前老驱动的设备,明年春天还能正常开机吗?