微软终于决定屏蔽一个早已退役的程序,该公司表示这个程序导致了"滥用和凭证窃取",但多年来仍被广泛信任。
从今年4月开始,微软将移除对未通过Windows硬件兼容性计划(WHCP)审核的内核驱动程序的信任。该公司专门针对由现已失效的交叉签名根程序签名的内核驱动程序。
虽然此举堵上了安全漏洞,但微软承认这可能会影响一些传统应用程序和使用场景。为了平衡安全性与兼容性,该公司将首先在2026年4月的Windows 11和服务器更新中以"评估模式"推出该政策。同时还会为一些较旧但广泛使用且信誉良好的驱动程序提供一定宽限,管理员在某些情况下也可以完全覆盖新政策。
Beauceron Security的David Shipley表示:"本质上,微软正在关闭其操作系统中一个存在20年的关键安全漏洞。设备驱动程序可以接触到操作系统内核,并可能滥用这种最高级别的访问权限来做一些有趣的事情,比如禁用杀毒软件和端点监控工具。"
交叉签名根程序的历史问题
微软在2000年代初推出了交叉签名根程序,为驱动程序提供商提供Windows信任的代码签名证书,该公司表示这些证书具有"不同程度的合作伙伴审核"。但它对该内核代码的安全性和兼容性没有提供任何保证。
该程序由存储与证书相关私钥的第三方管理,微软表示,这"导致了滥用和凭证窃取,使我们的客户及其平台面临风险"。
因此,该程序于2021年被弃用,所有证书此后都已过期。然而,微软表示,由该程序签名的第三方驱动程序仍然"广受信任"。
新的内核信任政策将适用于Windows 11 24H2、25H2、26H1和Windows Server 2025,所有未来版本都将强制执行该政策。微软集团项目经理Peter Waxman在博客文章中写道:"驱动程序是Windows生态系统的关键部分,确保其完整性对于提供安全可信的环境至关重要。"
然而,在初始评估模式下,微软将监控和审计驱动程序加载,以测试在阻止交叉签名驱动程序时可能出现的兼容性问题。系统将保持在评估模式,直到满足特定的运行时间(100小时)和启动(2-3次重启)场景。如果评估期间加载的所有驱动程序都是可信的,政策就会激活;但如果审计到任何无法通过新内核信任政策的交叉签名驱动程序,系统将保持评估模式,直到这些驱动程序不再被审计。
一旦激活,内核信任政策将自动阻止不受信任的驱动程序。只有通过WHCP审核和签名的驱动程序才会被默认加载,该程序扫描所有驱动程序提交以检测恶意软件,并测试设备是否与Windows硬件和操作系统兼容。这些驱动程序随后在整个Windows生态系统中受到信任。
微软称该认证程序为"严格的驱动程序签名流程",有助于确保其合作伙伴"持续受到审核"并符合其最新的安全和合规要求。
最大化兼容性的措施
即使在执行这项新政策时,微软也在采取措施最大限度地减少干扰。这家科技巨头将维护一个明确的允许列表,以便内核可以加载以前通过已退役程序审核的旧但"广泛使用且信誉良好的驱动程序"。这个例外列表基于两年来企业使用旧驱动程序的真实数据。
此外,管理员可以通过Business应用程序控制来覆盖该政策。这在企业加载为内部使用而构建的自定义驱动程序的场景中特别有用。
微软指出:"这使企业能够在已注册的系统上运行私有签名的驱动程序,而不会降低安全性。"但是,这些绕过政策必须在设备的加密密钥中获得特定授权,以确保它仅适用于特定的企业环境。
安全专家的看法
总体而言,分析师指出,这对安全性来说是个好消息。
Info-Tech Research Group的研究总监Thomas Randall表示:"似乎没有单一的漏洞、事件、法律或突然的触发因素促使这一步骤。相反,这是长期清理可避免安全风险的一部分。"
但是,Beauceron的Shipley指出,强大的安全性带来了一些"可用性或便利性的权衡"。例如,禁用设备驱动程序,即使是那些证书已过期的驱动程序,也可能使高度定制的物联网设备过时。这也可能影响像X光机这样的关键医疗设备。
Shipley说,微软通过在评估期间内置两个安全阀(100次驱动程序加载和三次重启)来确保"它们不会破坏重要的东西",这是明智的。
这是否会给恶意软件创建者增加更多阻力?是的。这是银弹吗?不是,他说。"杀死端点检测和响应的恶意软件仍然会发生,但爆炸半径刚刚变小了,所以这是一个胜利。"
企业需要做好准备
虽然微软确实对其新政策提供了一些例外,但利用这些例外的企业不应该认为自己对最终的驱动程序阻止免疫。
Randall说:"即使是那些允许的旧驱动程序也将是借来的时间。我们可以预期微软最终也会逐步淘汰这些驱动程序。"
他指出,组织面临的主要风险是他们可能在不知不觉中使用旧驱动程序。例如,依赖旧硬件、专用设备、长期运行的业务系统或多年前构建但从未完全更新的内部工具的工厂或医疗设施都面临风险。
Randall说:"设备可能仍然工作得很好,但它可能依赖于旧驱动程序,在此之前没有人有强烈的理由替换它。如果其中一个旧驱动程序不在微软的允许列表中且不存在替代品,一旦机器开始执行新规则,设备或应用程序可能会停止正常工作。"
为了为政策变更做准备,Randall建议企业列出安装Windows驱动程序的硬件和软件清单,然后测试频繁日常使用或服务高度重要功能(如紧急医疗设备)的机器;询问硬件和软件供应商是否有更新驱动程序的路线图;识别可能需要公司管理例外的任何内部专用驱动程序。
此外,Randall指出:"组织不应假设微软的例外列表会拯救它们,因为微软表示该列表将是有限的。"
Q&A
Q1:微软为什么要移除对交叉签名根程序驱动的信任?
A:微软表示交叉签名根程序导致了"滥用和凭证窃取",存在安全风险。该程序由第三方管理,存储与证书相关的私钥,这使客户及其平台面临风险。虽然程序已在2021年被弃用,但其签名的驱动程序仍被广泛信任,因此微软决定彻底移除对这些驱动的信任。
Q2:新的内核信任政策会如何影响旧设备?
A:新政策可能会让一些依赖旧驱动程序的设备停止工作,特别是高度定制的物联网设备和关键医疗设备如X光机。微软提供了一个允许列表来支持广泛使用且信誉良好的旧驱动,但这些驱动程序最终也可能被淘汰。企业需要提前识别和测试关键设备。
Q3:企业如何为这项政策变更做准备?
A:企业应该列出所有安装Windows驱动程序的硬件和软件清单,测试重要功能的机器,向供应商询问驱动程序更新路线图,识别内部专用驱动程序。不要依赖微软的例外列表,因为该列表有限。管理员可以通过Business应用程序控制来覆盖政策,但需要特定授权。
源顺网提示:文章来自网络,不代表本站观点。
