![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Microsoft will veraltete Kerneltreiber, die noch \"cross signed\" sind, aus Sicherheitsgr\u00fcnden ab April 2026 in Windows blockieren. Dies betrifft Windows 11 ab 24H2 und auch Windows Server 2025. Die \u00c4nderung wird mit dem Patchday zum 14. April 2026 per Update ausgerollt, aber nur \"sehr zur\u00fcckhaltend\" aktiviert. Das hat Microsoft die Woche bekannt gegeben.<\/p>\n
<\/p>\n
Kerneltreiber konnten aus historischen Gr\u00fcnden \u00fcber das \"Cross Signed Root Programm\" von Drittanbietern \u00fcber Zertifikate signiert werden.\u00a0\u202fDas Cross-Signed Root-Programm wurde Anfang der 2000er Jahre eingef\u00fchrt, um die Codeintegrit\u00e4t f\u00fcr Treiber von Drittanbietern auf der Windows-Plattform zu unterst\u00fctzen und zu gew\u00e4hrleisten. Dieses Programm stellte Treiberherstellern von Windows vertrauensw\u00fcrdige Code-Signaturzertifikate zur Verf\u00fcgung.<\/p>\n Dabei war aber die \u00dcberpr\u00fcfung der Partner unterschiedlich streng und es wurden keinerlei Garantien hinsichtlich der Sicherheit und Kompatibilit\u00e4t des Kernel-Codes gegeben. Das von externen Zertifizierungsstellen verwaltete Signaturprogramm verlangte von den Treiberautoren, die privaten Schl\u00fcssel des Zertifikats zu speichern und zu sch\u00fctzen, was zu Missbrauch und dem Diebstahl von Anmeldedaten f\u00fchrte.<\/p>\n Dieses Programm wurde aber 2021 durch Microsoft beendet. Seit diesem Zeitpunkt m\u00fcssen neue Kerneltreiber \u00fcber das Windows Hardware Compatibility Program (WHCP) zertifiziert werden und dessen strenge Richtlinien erf\u00fcllen.<\/p>\n Bisher war es aber m\u00f6glich, die alten Kerneltreiber weiter in Windows zu verwenden. Da Kerneltreiber aber weitgehende Rechte besitzen, leitet Microsoft aus Sicherheitsgr\u00fcnden einen R\u00fcckzug bei veralteten cross-signed Kerneltreibern ein. Laut dem oben erw\u00e4hnten Techcommunity-Beitrag will Microsoft die neue Kernel-Vertrauensrichtlinie ab 14. April 2026, im Rahmen des Windows-Updates, (allerdings zur\u00fcckhaltend) durchsetzen.<\/p>\n Diese neue Kernel-Vertrauensrichtlinie gilt f\u00fcr Systeme, auf denen Windows 11 24H2, Windows 11 25H2, Windows 11 26H1 und Windows Server 2025 l\u00e4uft und das April 2026-Update installiert ist. Microsoft schreibt dazu: \"Alle zuk\u00fcnftigen Versionen von Windows 11 und Windows Server werden die neue Kernel-Vertrauensrichtlinie durchsetzen.\"<\/p>\n Um diesen \u00dcbergang so reibungslos wie m\u00f6glich zu gestalten, wird die neue Kernel-Vertrauensrichtlinie ab dem 14. April 2026 allerdings nur im Evaluierungsmodus f\u00fcr Windows 11 24H2, 25H2, 26H1 und Windows Server 2025 eingef\u00fchrt. Im Evaluierungsmodus \u00fcberwacht und \u00fcberpr\u00fcft der Windows-Kernel alle geladenen Treiber.<\/p>\n Ziel ist es, festzustellen, ob die neue Vertrauensrichtlinie sicher aktiviert werden kann, ohne Kompatibilit\u00e4tsprobleme durch die Blockierung kritischer, cross-signed Treiber zu verursachen.\u202f Ein System verbleibt so lange im Evaluierungsmodus, bis alle\u00a0 nachfolgenden Evaluierungskriterien erf\u00fcllt sind:<\/p>\n Durch die Festlegung von zwei unterschiedlichen Bewertungskriterien will Microsoft sicherstellen, dass eine vielf\u00e4ltige Auswahl an Treibern in Start- und Laufzeitszenarien\u00a0 gepr\u00fcft und korrekt bewertet wird, bevor die Funktion aktiviert wird. Sobald alle Bewertungskriterien erf\u00fcllt sind, entscheidet die Funktion anhand der im Bewertungsmodus geladenen Treiber, ob das System die Richtlinie aktivieren soll:<\/p>\n Diese Treiber werden auf Systemen mit durchgesetzter Kernel-Vertrauensrichtlinie\u00a0an der Ausf\u00fchrung gehindert, und die folgende Benachrichtigung wird angezeigt:<\/p>\n Der Evaluierungsmodus stellt sicher, dass Systeme, die nicht vertrauensw\u00fcrdige, cross-signed Treiber f\u00fcr legitime, seltener auftretende Szenarien verwenden, nicht von einer systemweit durchgesetzten Richtlinie betroffen sind.\u202fGleichzeitig wird die Richtlinie auf Systemen, bei denen die Treiberkompatibilit\u00e4t von der Richtlinie nicht beeintr\u00e4chtigt wird, durchgesetzt, um die Angriffsfl\u00e4che des Kernels zu verringern und die Sicherheit zu verbessern.<\/p>\n Um bestimmte, nicht von der neuen Kernel-Richtlinie unterst\u00fctzte, Treiber auszuf\u00fchren, bietet Windows nun eine Methode, mit der die Standard-Kernel-Richtlinie mithilfe einer \"Application Control for Business\"-Richtlinie (fr\u00fcher WDAC) sicher au\u00dfer Kraft gesetzt werden kann.<\/p>\n Vertrauliche Treiber, die nicht \u00fcber das Microsoft Windows Hardware Compatibility Program (WHCP) via Hardware Dev Center (HDC) signiert werden k\u00f6nnen, sowie Treiber, die ausschlie\u00dflich f\u00fcr interne Szenarien entwickelt wurden, eignen sich laut Microsoft gut f\u00fcr die Anwendung dieser Richtlinie. Andernfalls m\u00fcssen Treiber, die f\u00fcr das Windows-\u00d6kosystem bestimmt sind, WHCP-zertifiziert und \u00fcber das Microsoft HDC-Portal signiert sein.<\/p>\n Kunden mit vertraulichen oder rein internen Treiberszenarien, die die Kontrolle \u00fcber die UEFI Secure Boot-Berechtigungen haben, k\u00f6nnen diese neue Funktion nutzen, um benutzerdefinierte Signierer zuzulassen, denen im Windows-Kernel standardm\u00e4\u00dfig nicht vertraut wird.<\/p>\n Die App-Control-Richtlinie erm\u00f6glicht es Kunden, privat signierte Treiber auf registrierten Systemen auszuf\u00fchren, ohne die Sicherheit zu beeintr\u00e4chtigen.\u202fDie Richtlinie muss von einer Autorit\u00e4t in den Variablen \"Secure Boot Platform Key\" (PK) oder \"Key Exchange Key\" (KEK) des Ger\u00e4ts signiert werden. Dies soll sicherzustellen, dass die Richtlinie nur f\u00fcr deren Umgebung gilt.<\/p>\n Standardm\u00e4\u00dfig sind Application Control-Richtlinien so konzipiert, dass sie die Standard-Kernel-Richtlinie einschr\u00e4nken. Wenn diese Richtlinien mit PK oder KEK signiert sind, kann das Vertrauen des Kernels auf Komponenten und Zertifikate ausgeweitet werden, denen in Windows ansonsten kein Vertrauen entgegengebracht wird.<\/p>\n Das Windows-Update vom 14. April 2026 wird diesen neuen Richtlinientyp in der Application Control for Business auf Systemen mit Windows 11 24H2, 25H2, 26H1 und Windows Server 2025 bereitstellen. Weitere Informationen zum Zulassen benutzerdefinierter Kernel-Treiber und zum Erstellen einer benutzerdefinierten Richtlinie finden sich auf dieser Microsoft Supportseite<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Microsoft will veraltete Kerneltreiber, die noch \"cross signed\" sind, aus Sicherheitsgr\u00fcnden ab April 2026 in Windows blockieren. Dies betrifft Windows 11 ab 24H2 und auch Windows Server 2025. Die \u00c4nderung wird mit dem Patchday zum 14. April 2026 per Update … Weiterlesen Die Information wurde zum 26. M\u00e4rz 2026 im Windows Blog als Techcommunity-Beitrag\u00a0Advancing\u202fWindows driver\u202fsecurity:\u202fRemoving trust for the cross-signed driver\u202fprogram<\/a> bekannt gegeben.<\/p>\n
Altlasten des \"Cross Signed Root Programms<\/h2>\n
Cross Signed Root Programm-Treiber werden gesperrt<\/h2>\n
![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/Win-Eval-Mode-Treiber.jpg\")
<\/a><\/p>\n\n
![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/Win-Eval-Mode-Treiber-Warn.jpg\")
<\/a><\/p>\n\n
Kernel-Treiber \u00fcber eine App-Control-Richtlinie zulassen<\/h2>\n