Microsoft gaat oude kerneldrivers in Windows 11 en Windows Server opnieuw certificeren. Alleen drivers die nog aan nieuwe beveiligingssstandaarden voldoen, zullen vanaf april blijven werken.
Microsoft kondigt in een blog aan dat het strenger zal toezien op ondersteuning voor kerneldrivers in Windows. Vanaf de april-update van 2026 zullen kerneldrivers die ooit zijn ondertekend door verouderde software hun certificaat opnieuw moeten verdienen. De oude certificaten bieden nog onvoldoende waarborgen voor de veiligheid en compatibiliteit van drivers, schrijft Microsoft.
Vanaf nu kunnen alleen nog drivers die voldoen aan de strenge eisen van het Windows Hardware Compatibility Program (WHCP) standaard worden geladen. Microsoft behoudt wel een beperkte lijst met ‘vertrouwde’ drivers om compatibiliteitsproblemen te voorkomen. De wijziging geldt voor ondersteunde Windows 11-versies en Windows Server 2025, en zal in de toekomst ook van kracht zijn voor alle nieuwe versies.
Het nieuwe beleid zorgt ervoor dat alleen WHCP-gecertificeerde drivers toegang krijgen tot de kernel, wat het aanvalsoppervlak aanzienlijk verkleint. Microsoft wijst erop dat drivers een kritiek onderdeel vormen van het Windows-ecosysteem en dat hun integriteit essentieel is voor een veilige werkomgeving. Oudere drivers vormen een onzichtbaar beveiligingsrisico.
Evaluatiemodus
Iedere driver krijgt een eerlijke kans om zich te bewijzen. Microsoft voorziet een evaluatiefase in april om compatibiliteitsproblemen te vermijden. Tijdens deze fase zal het systeem alle driverloads monitoren en auditen om te bepalen of de nieuwe policy veilig kan worden geactiveerd.
Pas als aan strikte criteria wordt voldaan, zoals een minimum van 100 draaiuren en drie herstarts voor Windows 11, wordt een certificaat toegekend. Voor Windows Servers geldt een minimum van twee herstarts. Drivers die niet voldoen aan de nieuwe normen, zullen worden geblokkeerd. Als er tijdens de evaluatie onvertrouwde drivers worden gedetecteerd, wordt de evaluatieperiode gereset en blijft de policy in de evaluatiemodus.
Voor organisaties die afhankelijk zijn van specifieke, niet-WHCP-gecertificeerde drivers, biedt Microsoft een oplossing via Application Control for Business. Met deze policy kunnen bedrijven zelf drivers toestaan die niet standaard vertrouwd worden, mits deze zijn ondertekend door een bevoegde sleutel in de Secure Boot-omgeving. Deze aanpak zorgt ervoor dat de veiligheid wordt behouden zonder de compatibiliteit op te offeren.
Verwarring rond printers
Microsoft erkent dat veel gebruikers en organisaties afhankelijk zijn van oudere drivers voor hun hardware of software. De balans tussen veiligheid en compatibiliteit blijkt soms moeilijk in het midden te houden. In februari zaaide Microsoft nog verwarring door te doen uitschijnen dat oude printers ondersteuning zouden verliezen in Windows. Op termijn wil Microsoft zo snel mogelijk af van externe drivers in Windows en gebruikers richting eigen software sturen.