A Microsoft vai endurecer a proteção do kernel no Windows 11 e no Windows Server 2025 ao remover, por padrão, a confiança em drivers assinados pelo antigo modelo de cross-signing.
A mudança começa com a atualização de abril de 2026 e atinge as versões Windows 11 24H2, 25H2, 26H1 e o Windows Server 2025. Na prática, o sistema passará a confiar automaticamente apenas em drivers aprovados pelo Windows Hardware Compatibility Program (WHCP).
Segundo a Microsoft, esse fluxo inclui validação do fornecedor, testes de compatibilidade e checagens de segurança antes da assinatura final, feita sob controle da própria empresa.
O alvo da mudança é um mecanismo criado no início dos anos 2000 para facilitar a distribuição de drivers de terceiros. Com o tempo, esse modelo se tornou um ponto fraco, porque dependia de certificados emitidos por autoridades externas e da proteção das chaves privadas pelos próprios desenvolvedores, o que abriu espaço para abuso em campanhas maliciosas.
Ao restringir esse caminho legado, a Microsoft busca reduzir a superfície de ataque para rootkits, drivers vulneráveis e outras ameaças que operam com privilégios elevados no kernel. Em ambientes Windows, esse tipo de código pode servir para burlar proteções do sistema e ganhar persistência com alto nível de privilégio. Essa avaliação decorre do papel dos drivers no núcleo do sistema e da justificativa apresentada pela empresa.
Para evitar impacto abrupto em ambientes corporativos, a mudança será aplicada primeiro em modo de avaliação. Nessa etapa, o kernel vai monitorar o carregamento de drivers antes de ativar o bloqueio pleno. A Microsoft afirma que, no Windows 11, isso exigirá 100 horas de uso e três reinicializações; no Server 2025, 100 horas e duas reinicializações.
