Microsoft voert een ingrijpende wijziging door in de manier waarop Windows omgaat met kernel drivers. Het bedrijf stopt met het standaard vertrouwen van drivers die zijn ondertekend via het verouderde cross-signed rootprogramma. 

In plaats daarvan mogen alleen nog drivers worden geladen die zijn goedgekeurd via het Windows Hardware Compatibility Program, beter bekend als WHCP. Met deze stap wil Microsoft de beveiliging van het besturingssysteem verder aanscherpen zonder de compatibiliteit volledig los te laten.

Volgens The Register betekent deze wijziging dat een deel van oudere drivers en hardware mogelijk niet langer zal functioneren, vooral wanneer leveranciers geen updates meer uitbrengen. Daarmee raakt de maatregel niet alleen beveiliging, maar ook het gebruik van legacy-systemen.

De verandering wordt uitgerold met de Windows-update van april 2026 en geldt voor Windows 11 24H2, 25H2 en 26H1, evenals Windows Server 2025. In toekomstige versies van Windows zal dit model standaard worden afgedwongen.

Kernel drivers spelen een cruciale rol binnen Windows, omdat ze directe toegang hebben tot de kern van het systeem. Daarom wil Microsoft alleen nog gecontroleerde en betrouwbare drivers toelaten. Het WHCP-programma vormt de basis en controleert drivers op malware en compatibiliteit. Alleen goedgekeurde drivers krijgen een officiële ondertekening van Microsoft.

Ouder driverprogramma blijkt beveiligingsrisico

Het cross-signed rootprogramma bood ontwikkelaars een manier om drivers te ondertekenen zonder directe tussenkomst van Microsoft. De beveiliging was minder streng en ontwikkelaars moesten zelf certificaten beheren, wat leidde tot misbruik en certificaatdiefstal. Hoewel het programma al in 2021 werd beëindigd, bleven deze drivers in bepaalde situaties nog vertrouwd.

Microsoft probeert een balans te vinden tussen strengere beveiliging en compatibiliteit. Veel systemen gebruiken nog drivers zonder WHCP-certificering. Daarom introduceert het bedrijf een evaluatiefase waarin Windows controleert of het nieuwe beleid zonder problemen kan worden ingeschakeld.

Als tijdens deze fase blijkt dat drivers niet voldoen, blijft het systeem in evaluatiemodus. Zodra deze drivers verdwijnen, kan het beleid alsnog worden geactiveerd. The Register vult aan dat er wel omwegen bestaan om bepaalde drivers te blijven gebruiken, maar dat deze beperkt zijn en niet voor alle scenario’s geschikt.

Voor organisaties die afhankelijk zijn van specifieke of interne drivers biedt Microsoft een alternatief via Application Control for Business. Daarmee kan het standaardbeleid worden aangepast, al geldt dit vooral voor interne of vertrouwelijke toepassingen en niet als brede oplossing voor verouderde drivers.

Met deze wijziging maakt Microsoft duidelijk dat de toekomst van Windows draait om streng gecontroleerde drivers. Uiteindelijk lijkt de koers erop gericht dat alleen WHCP-gecertificeerde drivers nog toegang krijgen tot de kernel, wat de beveiliging versterkt maar oudere hardware onder druk zet.