Microsoftは、有効期限が切れた証明書を持つ古いドライバーの実行やWindows 11のNTカーネルに信頼を認めていたカーネルポリシーを更新することになった。この変更により、2000年代初頭にMicrosoftが導入した「ルートプログラムを有効なものとしてクロス署名するプログラム」は機能しなくなる。
WHCP
Windows 11 Will No Longer Trust Old Drivers by Default Under New Kernel Policy | TechPowerUp
この「2000年代初頭にMicrosoftが導入したルートプログラムを有効なものとしてクロス署名するプログラム」により、NTカーネルが信頼するコード署名プログラムは証明書の有効期限が切れた後も実行可能となっていた。その結果、古いプリンタードライバーを持つプリンターメーカーなどのサードパーティ製ドライバー開発者は、有効なセキュリティ証明書がなくてもWindows 11上で古いドライバーを実行することができていた。しかし、Microsoftは4月のアップデートにおいて、Windows NTカーネルに対し、Windowsハードウェア互換性プログラム(WHCP)を通じて署名された新しいドライバーのみを受け入れるよう指示するため、この状況は終わりを迎る。
WHCPにより、各ドライバーはMicrosoftのセキュリティ基準を満たす有効なセキュリティ証明書を取得することが保証される。この更新は、Windows 11 24H2、25H2、26H1、Windows Server 2025、および将来のリリースでも実装される計画だが、この変更にもかかわらず、Microsoftは下位互換性と長年にわたるプラグアンドプレイ機能を維持するため、古いが信頼されたドライバーをロードすることを引き続き許可する。2026年4月のWindows更新プログラムでは、サポート対象システムにおいて、評価モードで新しいポリシーの適用が開始される。この期間中、Windowsはドライバーの動作を監視し、互換性の問題を引き起こさないと判断された場合にのみ、ポリシーを完全に有効化する。また、Microsoftは信頼できるクロス署名ドライバーの厳選された許可リストを維持しており、広く使用されているソフトウェアやハードウェアが必要な場所で引き続き機能できるようにすることで、移行を円滑に進めるとしている。
依然としてカスタムカーネルドライバーを必要とする環境に対しては、Microsoftは「Application Control for Business」(旧称WDAC)を通じて代替手段を提供する。このオプションは、機密性の高い、または内部限定のドライバーシナリオ向けに設計されており、組織が「Platform Key」や「Key Exchange Key」などのセキュアブート信頼アンカーにリンクされたポリシーを通じて、プライベートに署名されたコードを承認できるようにしていく。
まとめ
要するに、Microsoftはセキュリティと互換性のバランスを図りつつ、今後の標準としてWindowsエコシステムにWHCP認定ドライバーの採用を促進しようとしているのだ。
おすすめ記事
