Редмонд ужесточает политику доверия: перекрестно подписанный код больше не будет приниматься, поскольку Microsoft повышает безопасность ядра Windows. — theregister.com
Корпорация Microsoft отзывает доверие к драйверам ядра, не прошедшим программу совместимости оборудования Windows (WHCP), стремясь дополнительно обезопасить ядро Windows.
Компания нацелена на драйверы ядра, подписанные давно устаревшей программой перекрестной подписи. Хотя все сертификаты, связанные с этой программой, истекли, драйверы «по-прежнему широко доверены в ядре Windows». Это прекратится с обновлением Windows от апреля 2026 года.
Хотя Microsoft гордится обратной совместимостью, блокировка перекрестно подписанных драйверов затронет некоторые устаревшие сценарии использования и приложения. С этой целью политика будет внедряться в «режиме оценки», где ядро Windows будет отслеживать и аудировать загрузку драйверов, чтобы определить, вызовет ли активация политики проблемы совместимости.
Microsoft ввела программу перекрестной подписи в начале 2000-х годов, чтобы обеспечить целостность кода для сторонних драйверов. Однако сторонние разработчики администрировали программу подписания, требуя от авторов хранить и защищать закрытые ключи, связанные с этими сертификатами. По словам Microsoft, это «привело к злоупотреблениям и краже учетных данных, что поставило наших клиентов и их платформы под угрозу».
Вопрос о том, должна ли архитектура Windows это допускать, уже неактуален. Теперь проблема заключается в поиске баланса между безопасностью и совместимостью.
«Мы знаем, что безопасность драйверов и приложений требуется нашими клиентами, но это не должно происходить за счет совместимости и производительности», — заявила Microsoft. Отсюда и режим оценки, а также сохранение доверия к «важным и авторитетным перекрестно подписанным драйверам» в Windows.
Тем не менее, администраторы по-прежнему могут разрешать использование пользовательских драйверов ядра через политику Application Control for Business, чтобы переопределить политику ядра по умолчанию. Microsoft предполагает, что это будет использоваться для конфиденциальных или внутренних сценариев использования драйверов, а не для поддержки устаревшего оборудования или приложений.
«Политика должна быть подписана полномочным органом в переменных Platform Key (PK) или Key Exchange Key (KEK) Secure Boot устройства, чтобы гарантировать, что политика применима только к их среде», — заявила Microsoft. «В противном случае драйверы, предназначенные для экосистемы Windows, должны быть сертифицированы WHCP и подписаны через портал Microsoft HDC».
Решение Microsoft назревало давно, безусловно, с тех пор, как компания несколько лет назад прекратила поддержку программы перекрестной подписи. Однако это знание не облегчит жизнь пользователям с драйверами, которые теперь попали в немилость, а их поставщики вряд ли смогут или захотят их обновить. Обходные пути существуют, но решение Microsoft ясно сигнализирует о направлении движения компании. В конечном итоге Microsoft запретит любой код, не прошедший сертификацию WHCP, от любых манипуляций на уровне ядра.
Изменение коснется Windows 11 24H2, 25H2 и 26H1, а также Windows Server 2025. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Richard Speed