微軟將移除對舊版Cross-Signed Driver信任，僅允許WHCP認證驅動程式載入

Cross-Signed Driver（交叉簽署驅動程式）是微軟在2000年代初期為擴大硬體生態所採用的過渡機制，允許第三方開發者透過憑證機構（CA）取得程式碼簽章憑證，再透過微軟信任鏈完成交叉簽署，即可在未經微軟審核的情況下被Windows Kernel載入。這種設計雖降低開發門檻，但也因憑證外洩與濫用問題，逐漸成為惡意程式滲透Windows核心層的攻擊入口之一。

儘管微軟已於2021年淘汰Cross-Signed機制，相關憑證亦已過期，但部分Cross-Signed Driver仍持續被Windows信任，形成潛在攻擊面。

另一方面，微軟改以WHCP作為主要驅動程式驗證與簽章體系。WHCP要求驅動程式必須通過Hardware Lab Kit（HLK）測試、惡意程式掃描及開發者身分驗證，並由微軟使用官方憑證簽章，確保其安全性與相容性。

此次更新的重點，在於正式收回對Cross-Signed機制的信任。微軟表示，未來僅允許通過WHCP認證的驅動程式預設載入，同時維持一份Allow List，保留少數仍被廣泛使用且可信的Cross-Signed Driver。

該份Allow List是微軟藉由分析過去兩年Windows 11與Windows Server 2025數十億筆Driver Load Signals與使用情境，辨識出在真實環境中被廣泛載入、且未顯示安全風險的Cross-Signed Driver，並納入允許清單，以在提升安全性的同時維持既有相容性。

不過，就算在4月更新後，系統也不會直接封鎖Cross-Signed Driver，而是先進入Evaluation Mode評估觀察階段，在約100小時運行與數次重啟期間觀察驅動程式載入情況；倘若所有驅動程式皆符合新政策，系統才會自動切換至強制模式，否則將持續維持評估狀態。此設計可避免因直接封鎖而導致系統無法開機或硬體失效的情況。

此外，為了保留企業環境的彈性控管能力，企業用戶仍可透過Application Control for Business（原WDAC）自訂政策，允許內部或特殊用途的驅動程式執行，並透過UEFI Secure Boot中的Platform Key（PK）或Key Exchange Key（KEK）進行簽署，以確保僅在特定環境中生效，避免影響整體系統安全。