Microsoft окончательно отказывается от двадцатилетней практики, когда доверенные сторонние удостоверяющие центры могли выпускать сертификаты для подписи драйверов ядра. Начиная с апреля 2026 года, Windows 11 (версии 24H2, 25H2, 26H1, а также Windows Server 2025) по умолчанию будет принимать только те драйверы, которые прошли полную процедуру сертификации в рамках Windows Hardware Compatibility Program, то есть получили подпись непосредственно от Microsoft.
Чтобы переход не стал шоком для миллионов устройств, Microsoft встроила в систему механизм плавного ужесточения. Сначала, после установки обновления безопасности, Windows переходит в так называемый оценочный режим. В течение ста часов работы системы и после трех перезагрузок она продолжает загружать старые драйверы, но при этом ведет подробный аудит. В журнале событий и через PowerShell можно увидеть, какие именно драйверы скоро перестанут работать.
Только после того, как система накопит достаточно данных о поведении оборудования и установленного ПО, она активирует блокировку. Если драйвер не входит в специальный разрешительный список, который Microsoft сформировала на основе телеметрии за последние годы, его загрузка будет запрещена. При этом компания оставляет за собой право поддерживать небольшой белый список действительно критических старых драйверов, но это скорее исключение для особо распространенного оборудования.
Почему именно сейчас?
Причина лежит на поверхности — безопасность. Схема с перекрестной подписью была спроектирована еще в начале 2000‑х, когда угрозы ядерного уровня были редкостью. Со временем сторонние CA‑сертификаты стали золотым билетом для злоумышленников. Украденные или скомпрометированные сертификаты позволяли подписывать руткиты, читы для игр с античитами и вредоносные драйверы, которые могли отключать защиту прямо из ядра. Классическая атака BYOVD (bring your own vulnerable driver) строилась именно на том, что старый, но подписанный сторонним центром драйвер можно было использовать для выполнения произвольного кода в режиме ядра.
Windows 11 может раскрыть личные данных пользователей из-за нового ИИ-функционала
Новая политика требует от производителя не просто иметь сертификат, а пройти проверку в Hardware Dev Center, подтвердить совместимость с помощью Hardware Lab Kit и предоставить Microsoft возможность просканировать драйвер на вредоносный функционал. По сути, Microsoft берет на себя роль единственного арбитра, решающего, какой код достоин работы на уровне ядра.
Кого это затронет
Для обычного пользователя с современным компьютером, работающим под управлением лицензионной Windows 11, изменения, скорее всего, останутся незамеченными. Производители оборудования уже давно сертифицируют новые драйверы через WHCP, а популярные антивирусы и игровые античиты перестраивают свои процессы, чтобы соответствовать новым требованиям.
Основная зона риска — это все, что связано с legacy. Старые принтеры, сканеры, звуковые карты, необычное лабораторное оборудование, для которых производитель давно закрыл поддержку. Если к апрелю 2026 года для такого устройства не появится WHQL‑сертифицированный драйвер, оно просто перестанет работать после очередного обновления Windows. То же самое касается специфического софта — некоторых утилит для разгона, эмуляторов виртуальных приводов, инструментов для низкоуровневой диагностики, которые устанавливают собственные драйверы.
Корпоративные администраторы окажутся перед необходимостью провести полную инвентаризацию драйверов. PowerShell и штатные средства вроде pnputil позволят выявить уязвимые места заранее. Для критически важного ПО, которое не может быстро получить новую подпись, Microsoft оставила техническую возможность сформировать собственную политику доверия через механизм Application Control for Business. Однако такая политика должна быть подписана ключом из цепочки Secure Boot, что на практике означает серьезное усложнение управления.
Что делать разработчикам ПО
Разработчикам программного обеспечения и производителям оборудования стоит рассматривать апрель 2026 года как жесткий дедлайн. Переход на WHCP уже сейчас не требует кардинальной перестройки — процесс подписи через Hardware Dev Center давно отлажен, а требования по предоставлению SBOM (спецификации состава программного обеспечения) перенесены на вторую половину 2026 года, что дает дополнительное время.
Как выжать максимум из открытого кода
Для обычных пользователей главная рекомендация — не откладывать проверку. Если в системе установлено старое устройство, для которого драйвер был установлен вручную или подхватился Windows Update много лет назад, стоит заранее зайти на сайт производителя и убедиться, что существует версия с WHQL‑подписью. В противном случае придется выбирать между отказом от устройства или сознательным ослаблением защиты системы.
Microsoft, как обычно, оставляет лазейку для самых упорных. Можно включить режим тестирования testsigning, отключить целостность кода или загружаться с выключенной Secure Boot. Но каждый из этих шагов снижает уровень защиты до значений, которые компания пытается оставить в прошлом. И, что немаловажно, на домашних версиях Windows 11 такие обходы работают все хуже с каждым обновлением.
Как новая политика безопасности затронет российские компании?
В России, ситуация с новыми правилами от Microsoft накладывается на уже существующие ограничения для российского рынка, и здесь могут возникнуть сложности. Формально политика WHCP распространяется на всех производителей и разработчиков одинаково, но на практике доступ к необходимым инструментам и сервисам для российских компаний сильно затруднен.
Доступ к сертификационным порталам
Для того чтобы получить подпись Microsoft через Windows Hardware Compatibility Program, разработчику нужно иметь аккаунт в Hardware Dev Center — части Partner Center. Это корпоративная учетная запись, привязанная к юридическому лицу, с подтвержденными реквизитами, налогами и, что особенно важно, возможностью осуществлять платежи. С 2022 года Microsoft существенно ограничила регистрацию новых партнеров из России, а для уже зарегистрированных заблокировала возможность продления подписок, пополнения баланса и вывода средств. Многие российские компании столкнулись с тем, что их аккаунты в Partner Center были заморожены или лишились функционала, связанного с публикацией драйверов и получением цифровых подписей.
Без действующего аккаунта в Dev Center невозможно отправить драйвер на проверку HLK, даже если технически он полностью готов. Это ставит под сомнение саму возможность легально получить WHQL-подпись для российских разработчиков системного ПО, производителей оборудования или тех, кто выпускает драйверы для собственных продуктов.
Проблема с сертификатами EV
WHCP требует, чтобы драйвер был подписан сертификатом расширенной проверки (EV), выпущенным доверенным удостоверяющим центром, признанным Microsoft. Крупнейшие мировые CA — DigiCert, GlobalSign, Sectigo — приостановили выдачу сертификатов российским организациям, а некоторые и вовсе прекратили работу с российскими клиентами. Получить EV-сертификат на российское юридическое лицо сегодня практически невозможно, а без него даже теоретически нельзя начать процесс сертификации в Hardware Dev Center.
Остаются лишь удостоверяющие центры, аккредитованные в России и работающие по российскому законодательству, но их корневые сертификаты не входят в доверенное хранилище Microsoft для подписи драйверов ядра. То есть даже если российский разработчик получит такой сертификат, Windows не будет считать его валидным для загрузки kernel-драйверов.
Финансовый и логистический барьер
Сама процедура сертификации WHCP для большинства драйверов не является бесплатной. Производитель либо оплачивает годовую подписку на Partner Center, либо платит за каждую отдельную отправку (для небольших компаний предусмотрены разовые сборы). Российские компании не могут официально перевести эти средства из‑за отключения от международных платежных систем и блокировок корпоративных карт за рубежом. Даже если бы удалось получить EV-сертификат, оплата услуг Microsoft остается серьезной преградой.
Под удар попадают несколько категорий.
Во‑первых, проблемы могут коснуться разработчиков антивирусов, DLP-систем, средств защиты информации, которые традиционно используют драйверы ядра для реализации своих функций. Без свежих WHQL-подписей их продукты не смогут работать на актуальных версиях Windows 11, что в корпоративном секторе, где все еще используется Windows 11, создает серьезные риски.
Во‑вторых, производители оборудования, которые выпускают принтеры, сканеры, банковское оборудование, терминалы, промышленные контроллеры. Их драйверы, подписанные старым способом или вовсе неподписанные, после апреля 2026 года перестанут загружаться. В условиях, когда многие предприятия используют специализированную периферию, это может привести к необходимости либо массово менять оборудование, либо отказываться от обновлений Windows.
В‑третьих, разработчики нишевого ПО — от медицинских систем до промышленной автоматизации, которые часто включают собственные драйверы. Для них возможность поддерживать совместимость с Windows 11 становится вопросом выживания.
Есть ли обходные пути
Технически Microsoft оставляет для корпоративных клиентов возможность формировать собственные политики доверия через Application Control for Business (WDAC). Организация может создать политику, которая разрешает загрузку драйверов, подписанных определенным сертификатом, даже если он не входит в доверенные корневые центры Microsoft. Но для этого требуется, чтобы сама политика была подписана ключом из цепочки Secure Boot, что предполагает наличие у организации собственной инфраструктуры управления ключами и сертификатами.
На практике такой подход доступен лишь крупным компаниям с развитым ИТ-отделом. Для малых и средних российских разработчиков это практически нереализуемо. Кроме того, политика WDAC требует ручного развертывания на каждом устройстве или внедрения через групповые политики в домене — это не массовое решение для розничного софта.
Еще один вариант — переход на другие операционные системы. Некоторые российские разработчики уже сейчас ориентируются на Linux, Astra Linux, Ред ОС и другие платформы, где требования к подписи драйверов устроены иначе. Но для продуктов, заточенных под экосистему Windows, это означает либо полную переработку архитектуры, либо уход с рынка.
Что будет с конечными пользователями в России?
У обычного пользователя, который купил компьютер с предустановленной Windows 11, после очередного обновления может перестать работать старый принтер или специализированная звуковая карта или устройство для криптографического шифрования. Обновить драйвер будет нечем, потому что производитель уже не может его переподписать. Корпоративные клиенты, использующие российские СЗИ или банковское ПО, столкнутся с тем, что обновления этих продуктов перестанут устанавливаться на новые версии Windows.
При этом возможности обратиться к Microsoft за поддержкой у российских пользователей тоже ограничены, а альтернативные способы получения подписанных драйверов отсутствуют. Фактически санкционное давление и технические изменения Microsoft начинают работать в связке, превращая ранее формальные требования в непреодолимый барьер для целого сегмента разработчиков и производителей оборудования.
Возможно, новая политика безопасности не была создана специально против России, но в условиях текущих ограничений она ударит по российским разработчикам и пользователям гораздо сильнее, чем по остальному миру. Те, кто еще не перестроил процессы на WHCP, будут вынуждены искать обходные пути через зарубежные юрлица, переходить на открытые платформы или постепенно терять совместимость своих продуктов с Windows 11. В любом случае, для части российской ИТ-индустрии апрель 2026 года обещает быть крайне неприятным.
Между тем, статистика показывает, что Windows теряет свои позиции в качестве «всемирной» операционной системы.