Varsayılan Olarak Güvenilmeyen Çapraz İmzalı Çekirdek Sürücülerini Engellemek için Windows 11 ve Server 2025 Güncellemesi

Microsoft, kullanımdan kaldırılan çapraz imzalı kök programı tarafından imzalanan sürücülere olan güveni ortadan kaldırarak Windows işletim sistemini çekirdek düzeyindeki tehditlere karşı sağlamlaştırmak için büyük bir adım atıyor. Nisan 2026 güncellemesinden itibaren Windows 11 ve Windows Server 2025, bu güvenilmeyen sürücüleri varsayılan olarak engelleyecektir. Bu politika, yalnızca Windows Donanım Uyumluluğu Programı aracılığıyla sertifikalandırılmış sürücülerin otomatik olarak yüklenebilmesini sağlayarak kötü amaçlı aktörlerin saldırı yüzeyini önemli ölçüde azaltır.​

Eski bir Güvenlik Açığını Kapatma

Çapraz imzalı kök programı, üçüncü taraf sertifika yetkililerinin Windows tarafından güvenilen kod imzalama sertifikaları vermesine izin vermek için 2000 'li yılların başında tanıtıldı. Bununla birlikte, bu sistem çekirdek kodunun güvenliği veya uyumluluğu konusunda hiçbir güvence sağlamamıştır. Geliştiriciler kendi özel anahtarlarını yönettiğinden, program kimlik bilgisi hırsızlığı için sıkça kullanılan bir hedef haline geldi ve tehdit aktörlerinin rootkitleri dağıtmasına izin verdi.​

Microsoft, 2021 'de bu imza programını resmi olarak kullanımdan kaldırdı ve ilgili tüm sertifikaların süresi doldu. Buna rağmen Windows, eski donanımlarla uyumluluğu korumak için bu eski sertifikalara güvenmeye devam etti. Sürücüler zorunlu sistemlerde engellenecek ve bir bildirim görüntülenecektir(kaynak: Microsoft)

Bu yeni güncelleme nihayet bu kalıcı güveni ortadan kaldırıyor. Bundan sonra, sertifikasyon hattı, satıcıların sıkı kimlik incelemesinden geçmesini, sıkı test sonuçlarını sunmasını ve korumalı bir Microsoft'a ait sertifika almadan önce kötü amaçlı yazılım taramasından geçmesini gerektirir. Sistem çökmelerini önlemek için Microsoft, son derece saygın, yaygın olarak kullanılan çapraz imzalı sürücüler için açık bir izin listesi sunuyor. Çekirdek güncellemesi ayrıca dikkatli bir değerlendirme modunda dağıtılacaktır. Windows çekirdeği, yeni politikanın kritik işlevleri aksatmayacağından emin olmak için sürücü yük sinyallerini denetleyecektir. Sistem, bloğu yalnızca belirli çalışma süresi ve yeniden başlatma eşiklerini karşıladıktan sonra uygulayacaktır.