Windows 11/Server 2025 blocken ab April 2026 "cross-signierte" Kerneltreiber

Veröffentlicht am 28. März 2026 von Günter Born

WindowsMicrosoft will veraltete Kerneltreiber, die noch "cross signed" sind, aus Sicherheitsgründen ab April 2026 in Windows blockieren. Dies betrifft Windows 11 ab 24H2 und auch Windows Server 2025. Die Änderung wird mit dem Patchday zum 14. April 2026 per Update ausgerollt, aber nur "sehr zurückhaltend" aktiviert. Das hat Microsoft die Woche bekannt gegeben.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Die Information wurde zum 26. März 2026 im Windows Blog als Techcommunity-Beitrag Advancing Windows driver security: Removing trust for the cross-signed driver program bekannt gegeben.

Altlasten des "Cross Signed Root Programms

Kerneltreiber konnten aus historischen Gründen über das "Cross Signed Root Programm" von Drittanbietern über Zertifikate signiert werden.  Das Cross-Signed Root-Programm wurde Anfang der 2000er Jahre eingeführt, um die Codeintegrität für Treiber von Drittanbietern auf der Windows-Plattform zu unterstützen und zu gewährleisten. Dieses Programm stellte Treiberherstellern von Windows vertrauenswürdige Code-Signaturzertifikate zur Verfügung.

Dabei war aber die Überprüfung der Partner unterschiedlich streng und es wurden keinerlei Garantien hinsichtlich der Sicherheit und Kompatibilität des Kernel-Codes gegeben. Das von externen Zertifizierungsstellen verwaltete Signaturprogramm verlangte von den Treiberautoren, die privaten Schlüssel des Zertifikats zu speichern und zu schützen, was zu Missbrauch und dem Diebstahl von Anmeldedaten führte.

Dieses Programm wurde aber 2021 durch Microsoft beendet. Seit diesem Zeitpunkt müssen neue Kerneltreiber über das Windows Hardware Compatibility Program (WHCP) zertifiziert werden und dessen strenge Richtlinien erfüllen.

Cross Signed Root Programm-Treiber werden gesperrt

Bisher war es aber möglich, die alten Kerneltreiber weiter in Windows zu verwenden. Da Kerneltreiber aber weitgehende Rechte besitzen, leitet Microsoft aus Sicherheitsgründen einen Rückzug bei veralteten cross-signed Kerneltreibern ein. Laut dem oben erwähnten Techcommunity-Beitrag will Microsoft die neue Kernel-Vertrauensrichtlinie ab 14. April 2026, im Rahmen des Windows-Updates, (allerdings zurückhalten) durchsetzen.

Diese neue Kernel-Vertrauensrichtlinie gilt für Systeme, auf denen Windows 11 24H2, Windows 11 25H2, Windows 11 26H1 und Windows Server 2025 läuft und das April 2026-Update installiert ist. Microsoft schreibt dazu: "Alle zukünftigen Versionen von Windows 11 und Windows Server werden die neue Kernel-Vertrauensrichtlinie durchsetzen."

Um diesen Übergang so reibungslos wie möglich zu gestalten, wird die neue Kernel-Vertrauensrichtlinie ab dem 14. April 2026 allerdings nur im Evaluierungsmodus für Windows 11 24H2, 25H2, 26H1 und Windows Server 2025 eingeführt. Im Evaluierungsmodus überwacht und überprüft der Windows-Kernel alle geladenen Treiber.

Ziel ist es, festzustellen, ob die neue Vertrauensrichtlinie sicher aktiviert werden kann, ohne Kompatibilitätsprobleme durch die Blockierung kritischer, cross-signed Treiber zu verursachen.  Ein System verbleibt so lange im Evaluierungsmodus, bis alle  nachfolgenden Evaluierungskriterien erfüllt sind:

Durch die Festlegung von zwei unterschiedlichen Bewertungskriterien will Microsoft sicherstellen, dass eine vielfältige Auswahl an Treibern in Start- und Laufzeitszenarien  geprüft und korrekt bewertet wird, bevor die Funktion aktiviert wird. Sobald alle Bewertungskriterien erfüllt sind, entscheidet die Funktion anhand der im Bewertungsmodus geladenen Treiber, ob das System die Richtlinie aktivieren soll:

  • Wurden alle während des Bewertungszeitraums geladenen Treiber von der Kernel-Richtlinie als vertrauenswürdig eingestuft, aktiviert das System die neue Kernel-Vertrauensrichtlinie und setzt sie durch.
  • Durchgesetzte Systeme sind nun vor nicht vertrauenswürdigen Treibern aus dem Cross-Signed-Programm geschützt, die nicht der Kernel-Vertrauensrichtlinie entsprechen.

Diese Treiber werden auf durchgesetzten Systemen an der Ausführung gehindert, und die folgende Benachrichtigung wird angezeigt:

  • Wird während des Testzeitraums ein Cross-Signed-Treiber geprüft und festgestellt, dass dieser die neue Kernel-Vertrauensrichtlinie nicht erfüllt, Aktiviert Windows die Richtlinie nicht.
  • Die Prüfung verbleibt im Evaluierungsmodus und der oben als Kriterium erwähnte Testzeitraum wird zurückgesetzt. Das System bleibt im Testmodus, bis die Treiber, die die Aktivierung blockieren, nicht mehr geprüft werden.

Der Evaluierungsmodus stellt sicher, dass Systeme, die nicht vertrauenswürdige, cross-signed Treiber für legitime, seltener auftretende Szenarien verwenden, nicht von einer systemweit durchgesetzten Richtlinie betroffen sind. Gleichzeitig wird die Richtlinie auf Systemen, bei denen die Treiberkompatibilität von der Richtlinie nicht beeinträchtigt wird, durchgesetzt, um die Angriffsfläche des Kernels zu verringern und die Sicherheit zu verbessern.

Kernel-Treiber über eine App-Control-Richtlinie zulassen

Um bestimmte, nicht von der neuen Kernel-Richtlinie unterstützte, Treiber auszuführen, bietet Windows nun eine Methode, mit der die Standard-Kernel-Richtlinie mithilfe einer "Application Control for Business"-Richtlinie (früher WDAC) sicher außer Kraft gesetzt werden kann.

Vertrauliche Treiber, die nicht über das Microsoft Windows Hardware Compatibility Program (WHCP) via Hardware Dev Center (HDC) signiert werden können, sowie Treiber, die ausschließlich für interne Szenarien entwickelt wurden, eignen sich laut Microsoft gut für die Anwendung dieser Richtlinie. Andernfalls müssen Treiber, die für das Windows-Ökosystem bestimmt sind, WHCP-zertifiziert und über das Microsoft HDC-Portal signiert sein.

Kunden mit vertraulichen oder rein internen Treiberszenarien, die die Kontrolle über die UEFI Secure Boot-Berechtigungen haben, können diese neue Funktion nutzen, um benutzerdefinierte Signierer zuzulassen, denen im Windows-Kernel standardmäßig nicht vertraut wird.

Die App-Control-Richtlinie ermöglicht es Kunden, privat signierte Treiber auf registrierten Systemen auszuführen, ohne die Sicherheit zu beeinträchtigen. Die Richtlinie muss von einer Autorität in den Variablen "Secure Boot Platform Key" (PK) oder "Key Exchange Key" (KEK) des Geräts signiert werden. Dies soll sicherzustellen, dass die Richtlinie nur für deren Umgebung gilt.

Standardmäßig sind Application Control-Richtlinien so konzipiert, dass sie die Standard-Kernel-Richtlinie einschränken. Wenn diese Richtlinien mit PK oder KEK signiert sind, kann das Vertrauen des Kernels auf Komponenten und Zertifikate ausgeweitet werden, denen in Windows ansonsten kein Vertrauen entgegengebracht wird.

Das Windows-Update vom 14. April 2026 wird diesen neuen Richtlinientyp in der Application Control for Business auf Systemen mit Windows 11 24H2, 25H2, 26H1 und Windows Server 2025 bereitstellen. Weitere Informationen zum Zulassen benutzerdefinierter Kernel-Treiber und zum Erstellen einer benutzerdefinierten Richtlinie finden sich auf dieser Microsoft Supportseite.

Dieser Beitrag wurde unter Sicherheit, Windows, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.