C’è una politica di sicurezza nel kernel di Windows che risale ai primi anni 2000 e che è rimasta lì anche dopo essere stata ufficialmente dismessa nel 2021. Si tratta del programma di firma incrociata, che permetteva a partner terzi di emettere certificati per driver kernel considerati attendibili da Windows.
Microsoft cambia una regola del kernel Windows vecchia di vent’anni, finalmente!
Microsoft ha annunciato che il kernel di Windows non caricherà più per impostazione predefinita i driver firmati attraverso il vecchio programma di firma incrociata. Da aprile, solo i driver firmati attraverso il Windows Hardware Compatibility Program (WHCP) saranno accettati.
Per ragioni di compatibilità, Microsoft manterrà una lista esplicita di driver vecchi ma affidabili, già verificati tramite il programma precedente, che continueranno a funzionare. Ma la porta principale si chiude:, i driver nuovi dovranno passare per WHCP.
La modifica si applica a Windows 11 24H2, 25H2, 26H1, Windows Server 2025 e tutte le versioni future di Windows client e server.
Perché è importante
I driver kernel operano al livello più profondo del sistema operativo, hanno accesso diretto all’hardware e alla memoria. Un driver compromesso o non verificato a quel livello può fare praticamente qualsiasi cosa: rubare dati, installare rootkit, eludere antivirus. Continuare a fidarsi di certificati scaduti emessi vent’anni fa è un rischio di sicurezza concreto. Dato che il rapporto sulla stabilità di Windows in ambito aziendale non è stato lusinghiero, sembra il minimo.
La transizione sarà graduale
Microsoft sa che alcuni ambienti dipendono da driver legacy per la compatibilità. Per questo la nuova politica partirà in “modalità di valutazione”. Terrà d’occhio il sistema per un certo periodo per identificare eventuali problemi prima di applicare le restrizioni completamente.
Le aziende potranno anche usare la policy Application Control for Business (ex WDAC) per sovrascrivere la politica predefinita del kernel, utile per chi ha driver personalizzati costruiti per uso interno.
Intanto Microsoft continuerà a raccogliere feedback e a completare il roll out. Questa politica non è stata decisa a tavolino, ma si basa su dati reali raccolti dai dispositivi Windows 11 e Windows Server 2025 negli ultimi due anni, come errori, prestazioni e modalità d’uso, utilizzati per capire cosa funziona davvero e dove intervenire.
Ti potrebbe interessare
27 mar 2026