Stel je voor dat je een jenga-toren aan het bouwen bent en plotseling alle onderste blokken moet verwijderen. Datacenters over de hele wereld zullen voor dit dilemma komen te staan door een nieuw beleid van Microsoft.
Vanaf de Windows-update van april 2026 verwijdert Microsoft het standaardvertrouwen voor alle kerneldrivers die zijn ondertekend onder het deprecated cross-signed rootprogramma. Dit is gericht op Windows 11 24H2, 25H2, 26H1 en Windows Server 2025. Elke toekomstige Windows-versie zal hetzelfde beleid volgen.
Als je servers draait met stuurprogramma's die niet door Microsofts Windows Hardware Compatibility Program (WHCP) zijn gekomen, heb je een probleem. Om het nog moeilijker te maken, dit zijn meestal oudere servers die de basis vormt van alle datacenteractiviteiten.
Wat Microsoft eigenlijk heeft veranderd en waarom het van belang is op kernelniveau
Deze verandering werd voor het eerst in gang gezet in 2021, toen Microsoft het cross-signed programma afschafte. Wanneer het actief is, laat het externe hardwareleveranciers hun stuurprogramma's verifiëren zonder door Microsofts eigen certificeringspijplijn te gaan.
Dit is het mechanisme: leveranciers ondertekenden hun stuurprogramma's met certificaten van derde partij certificaatautoriteiten, die Microsoft vervolgens medeondertekende. Deze medeondertekenaars zorgden voor vertrouwen in de Windows kernel.
De certificaten vervielen toen de functie werd afgeschaft, maar Windows bleef de stuurprogramma's vertrouwen. Deze achterwaartse compatibiliteitsfilosofie zorgde ervoor dat Microsoft niet het tapijt onder miljoenen geïmplementeerde systemen vandaan zou trekken.
Tenminste tot het einde van de aflossingsvrije periode. Dat is april 2026. .
Kerneldrivers zijn geen gewone applicatiesoftware. Ze draaien op Ring 0: het meest bevoorrechte uitvoeringsniveau in het besturingssysteem.
Een kerneldriver heeft bijna volledige controle over geheugen, I/O en hardware. Als er iets fout gaat op kernel niveau, genereert het niet alleen een foutmelding. Het crasht de machine, beschadigt gegevens of brengt stilletjes elke beveiligingscontrole in gevaar die erboven zit in de stack.
De aanvalsvector heet Bring Your Own Vulnerable Driver (BYOVD). Het mechanisme is eenvoudig: aanvallers laden een legitiem ondertekend maar kwetsbaar stuurprogramma, vaak van legacy hardware monitoring software, hulpprogramma's voor schijfbeheer of randapparatuur voor games. Vervolgens gebruiken ze het om endpointdetectietools uit te schakelen, privileges te escaleren en zich te verplaatsen voordat iemand het merkt. Omdat het stuurprogramma is ondertekend, zien de meeste toestemmingslijsten en antivirusprogramma's het als vertrouwde code.
Onderzoek van Nextgen Software schat dat ongeveer 25% van de ransomware-aanvallen in 2024 BYOVD-technieken bevatten die specifiek bedoeld zijn om EDR-systemen uit te schakelen voordat ze worden versleuteld. Het LOLDrivers-project heeft meer dan 900 ondertekende 64-bits stuurprogramma's gecatalogiseerd waarvan al bekend is dat ze kunnen worden misbruikt. Uw oude opslagcontrollerstuurprogramma kan op die lijst staan. Uw BMC-firmware stuurprogramma is er vrijwel zeker niet tegen gecontroleerd.
Microsofts zet elimineert BYOVD niet helemaal. Maar het sluit het meest voor de hand liggende aanvalsoppervlak: de hele klasse van kruislings ondertekende stuurprogramma's die nooit werden onderworpen aan de WHCP validatievereisten.
Het probleem met legacyhardware waar niemand over wil praten
De servers die waarschijnlijk niet-WHCP stuurprogramma's hebben, zijn niet degene die je in 2024 hebt vernieuwd. Het zijn degene die je vergeten bent. Het kan zijn
- Industriële besturingsintegraties
- Opslagcontrollers op verouderde hardware met gespecialiseerde firmware
- Hardware beveiligingsmodules met leveranciersonafhankelijke kerneldrivers.
- Netwerkinterfacestuurprogramma's voor 10GbE-kaarten die sinds 2019 geen firmwareversie meer hebben gehad
- Hypervisor management agents die één keer zijn geïnstalleerd en nooit meer zijn aangeraakt.
In een standaard inventarisatie van bedrijfsmiddelen komt geen van deze voor als ‘veiligheidsrisico’. Ze worden weergegeven als ‘werkende infrastructuur’. Tenminste tot de deadline van Microsoft.
Microsoft rolt het beleid eerst uit in evaluatiemodus. De Windows kernel controleert en controleert de belasting van stuurprogramma's gedurende ten minste 100 uur over een minimum van drie herstarts voordat de handhaving wordt geactiveerd. Als alle stuurprogramma's die in die periode zijn geladen voldoen aan het nieuwe vertrouwensbeleid, wordt de handhaving gestart.
Als een gekruist ondertekend stuurprogramma de controle niet doorstaat, blijft het systeem in de evaluatiemodus en wordt de teller gereset. Dat is een opzettelijke veiligheidsklep, maar het betekent ook dat organisaties die problematische legacy drivers gebruiken in een eeuwigdurende semi-geforceerde staat kunnen blijven. Dat is niet hetzelfde als beschermd zijn.
| Risicofactor bestuurder | Wat het betekent voor uw infrastructuur |
| Ondertekend certificaat | Bestuurder is nooit WHCP-gevalideerd; vertrouwen wordt ingetrokken in update van april 2026 |
| Ondertekening vóór 2015 | Certificaat dateert van vóór de moderne WHCP-vereisten; grotere kans dat er geen gecertificeerde vervanging is |
| Verkoper niet langer actief | WHCP wordt niet vervangen; hardware kan permanent beschadigd zijn na de update |
| Hardware >5 jaar oud | Drivers zijn waarschijnlijk niet opnieuw ingediend bij WHCP; controleer het LOLDrivers project voor bekende CVE's |
| Geen stuurprogramma-update sinds 2021 | Verkoper stopte met onderhoud voordat WHCP het afgedwongen pad werd; beschikbaarheid vervanging onbekend |
De meest blootgestelde hardwarecategorieën zijn:
- Servers met gespecialiseerde opslagcontrollers
- Systemen met eigen BMC of out-of-band stuurprogramma's voor beheer
- Apparatuur van leveranciers die failliet gingen of stopten met hun productlijnen voordat WHCP het verplichte pad werd.
Als de vernieuwingscyclus van je infrastructuur langer dan vijf jaar duurt, en dat is hoogstwaarschijnlijk het geval, dan heb je vrijwel zeker te maken met een aangetast systeem. U moet bepalen hoeveel systemen binnen het bereik vallen. Of u komt er nu achter, of u leert het op de harde manier door een langdurige storing.
Wat WHCP eigenlijk certificeert en wat niet
Om een stuurprogramma ondertekend te krijgen via het Windows Hardware Compatibility Program, moet een leverancier het stuurprogramma indienen via Microsofts Hardware Dev Center portaal. Vervolgens moet het compatibiliteits- en betrouwbaarheidstests doorstaan en voldoen aan de huidige vereisten voor code-integriteit. Microsoft beheert de ondertekeningssleutels. De verkoper gebruikt de privésleutel nooit rechtstreeks.
Een van de hardnekkige problemen met cross-signed stuurprogramma's was het sleutelbeheer: leveranciers hadden hun eigen privésleutels en gestolen sleutels leidden ertoe dat legitieme certificaten werden gebruikt om kwaadaardige stuurprogramma's te ondertekenen. De BlackLotus bootkit in 2023 gebruikte een oud cross-signed certificaat om kernel-level persistentie te verkrijgen op bedrijfssystemen. Het beveiligingsteam van Microsoft documenteerde 47 afzonderlijke aanvallen waarbij gebruik werd gemaakt van cross-signed certificaten tussen 2020 en 2025, waarbij telkens noodpatches en intrekking van certificaten achteraf nodig waren.
WHCP elimineert dat aanvalsoppervlak door sleutelbeheer te centraliseren. Het dwingt stuurprogramma's ook door een validatiepijplijn die toetst aan de huidige Windows vereisten in plaats van de vereisten die bestonden toen het stuurprogramma voor het eerst werd geschreven.
Dit is wat WHCP niet certificeert: de onderliggende hardware. Een door WHCP ondertekend stuurprogramma voor een vijf jaar oude server betekent dat het stuurprogramma voldoet aan de huidige certificeringseisen van Microsoft. Het betekent niet dat de server actueel, veilig of geschikt is voor jouw infrastructuur.
Het stuurprogramma is slechts de softwarelaag. De hardware eronder heeft zijn eigen levenscyclus, zijn eigen kwetsbaarheden in de firmware en zijn eigen tijdlijn voor het einde van de ondersteuning.
Sommige organisaties behandelen WHCP naleving als een selectievakje dat oudere hardware onbeperkt in gebruik houdt. De realiteit is dat het slechts één laag van de beveiligingsstapel is. De hardware die onder dat stuurprogramma draait, moet nog steeds worden gepatcht, verzamelt bekende CVE's en draait firmware die geen update heeft gezien sinds het technische team van de leverancier verder is gegaan.
De Refresh-beschikking: Hoe ziet de wiskunde eruit?
Legacy hardware brengt niet alleen veiligheidsrisico's met zich mee. Het brengt kosten met zich mee die de meeste financiële teams niet op de juiste manier incalculeren.
Uitgebreide ondersteuningscontracten met leveranciers voor servers na hun standaard ondersteuningslevenscyclus bedragen doorgaans 15-20% van de oorspronkelijke hardwarekosten per jaar. Dat komt bovenop de overheadkosten voor stroom en koeling die oudere, minder efficiënte hardware met zich meebrengt in vergelijking met apparatuur van de huidige generatie. Een Dell PowerEdge R730 continu 400 W trekken versus een R760 van de huidige generatie die dezelfde werklast op 280 W draait, is een echte kostenpost op de energierekening. Dit geldt voor elke server in hetzelfde cohort.
En dan zijn er nog de kosten van incidenten. Een enkele ongeplande storing veroorzaakt door een incompatibele driver kost meer aan engineering-uren, bedrijfsonderbreking en versnelde hardware-aankoop dan de meeste organisaties begroten voor een geplande vernieuwing. Het verschil is wie de timing bepaalt.
De servers die het meest worden blootgesteld aan Microsofts kernel vertrouwenswijziging van april 2026 zijn waarschijnlijk ook de servers die het meest zijn blootgesteld aan hun optimale verversingspunt op elke andere dimensie.
Hardware die al vijf of meer jaar niet is vernieuwd, is waarschijnlijk gekocht voordat WHCP de opgelegde standaard werd, draait op stuurprogramma's die niet zijn bijgewerkt sinds het ondersteuningsvenster van de leverancier is gesloten en heeft een groeiende technische schuld op meerdere fronten.
Hier is de hamvraag: is het haalbaar om deze hardware draaiende te houden en wat kun je doen nu het april 2026 is?
Wat te doen met de Microsoft April Update
De evaluatiemodus van Microsoft geeft je een venster. Zorg ervoor dat je het gebruikt.
De eerste stap is stuurprogramma-inventarisatie. Vergeet software en netwerken: je moet je kerneldrivers in productie evalueren. Elke server in je machinepark moet worden gecontroleerd op stuurprogramma's die zijn gekoppeld aan kruislings ondertekende certificaten.
De ingebouwde tools van Microsoft kunnen dit aan het licht brengen: de gebeurtenislogboeken van de kernel van Windows zullen aangetaste stuurprogramma's markeren tijdens de evaluatiemodus. U kunt ook sigcheck van Sysinternals uitvoeren op uw stuurprogrammamap om informatie over de certificaatketen te identificeren voordat de update uw systemen raakt.
Vergelijk je driverlijst met twee bronnen: het LOLDrivers-project (loldrivers.io), dat een door de gemeenschap samengestelde database van bekende kwetsbare drivers onderhoudt, en Microsofts eigen blokkadelijst voor kwetsbare drivers, die wordt bijgewerkt via Windows Defender. Als een stuurprogramma op je systeem op een van beide lijsten voorkomt, is het op dit moment een actief aanvalsoppervlak. Dat is een probleem dat losstaat van de update van april.
Voor stuurprogramma's die de WHCP-controle niet doorstaan en waarvoor geen gecertificeerde vervanging beschikbaar is, zijn er drie mogelijkheden:
- Implementeer Application Control for Business-beleidsregels met UEFI Secure Boot-autoriteit om het specifieke stuurprogramma als expliciete uitzondering toe te staan
- Isoleer de aangetaste hardware van netwerksegmenten waar zijdelingse verplaatsing gevolgen zou hebben
- De hardware buiten gebruik stellen en de restwaarde van het actief terugverdienen voordat het verder wordt afgeschreven.
Het uitzonderingspad is geen permanente oplossing. Microsoft is expliciet geweest: elke toekomstige versie van Windows zal het WHCP-first vertrouwensmodel afdwingen. De toestaan-lijst uitzonderingen die vandaag bestaan zijn een compatibiliteitsoverbrugging, geen ondersteunde houding op lange termijn. Organisaties die legacy hardware draaiende houden door middel van handmatige uitzonderingen zijn bezig met aftellen, niet met het oplossen van een probleem.
Ontmanteling is het enige pad dat de blootstelling permanent afsluit. Afhankelijk van de leeftijd en configuratie van de hardware, biedt buitengebruikstelling een directe weg naar inkomsten in plaats van kosten.
Conclusie
Microsofts update van april 2026 creëerde geen nieuw probleem. Het zette een deadline op een probleem dat al bestond. Als je oudere servers in je infrastructuur hebt met niet-WHCP drivers, dan is die deadline nu.
Die servers moesten uiteindelijk uit productie gaan, dus deze deadline kan ook als les dienen. Alles wat je datacenter in gaat, heeft een offramp tijdlijn nodig. Set it and forget it hardware is verleden tijd.
Dutch 
English 
German 
Spanish 
French 
Swedish