Tänk dig att du bygger ett jenga-torn och plötsligt måste ta bort alla de lägsta blocken. Datacenter runt om i världen kommer att ställas inför detta dilemma på grund av en ny Microsoft-policy.
Från och med Windows-uppdateringen i april 2026 tar Microsoft bort standardförtroendet för alla kärndrivrutiner som är signerade under det föråldrade cross-signed root-programmet. Detta kommer att rikta sig till Windows 11 24H2, 25H2, 26H1 och Windows Server 2025. Varje framtida Windows-version kommer att följa samma policy.
Om du kör servrar med drivrutiner som inte har genomgått Microsofts Windows Hardware Compatibility Program (WHCP) har du ett problem. För att göra saker och ting svårare, dessa tenderar att vara äldre servrar utgör grunden för all drift av datacenter.
Vad Microsoft faktiskt ändrade och varför det spelar roll på kärnnivå
Denna förändring påbörjades först 2021, då Microsoft avskaffade programmet för korssignering. När det är aktivt låter det tredjepartsleverantörer av hårdvara autentisera sina drivrutiner utan att gå igenom Microsofts egen certifieringspipeline.
Så här går det till: Leverantörerna signerade sina drivrutiner med certifikat från tredjepartscertifikatutfärdare, som Microsoft sedan kontrasignerade. Dessa kontrasigneringar är vad som etablerade förtroendet för Windows-kärnan.
Certifikaten upphörde att gälla när funktionen togs bort, men Windows fortsatte att lita på drivrutinerna. Denna bakåtkompatibilitetsfilosofi säkerställde att Microsoft inte skulle dra undan mattan för miljontals distribuerade system.
Åtminstone fram till slutet av den amorteringsfria perioden. Det är i april 2026. .
Kerneldrivrutiner är inte vanlig applikationsprogramvara. De körs på Ring 0: den mest privilegierade exekveringsnivån i operativsystemet.
En kerneldrivrutin har nästan total kontroll över minne, I/O och maskinvara. När något går fel på kärnnivån genererar det inte bara en fellogg. Det kraschar maskinen, korrumperar data eller komprometterar i tysthet varje säkerhetskontroll som sitter ovanför den i stacken.
Attackvektorn kallas Bring Your Own Vulnerable Driver (BYOVD). Mekaniken är enkel: angripare laddar en legitimt signerad men sårbar drivrutin, ofta från äldre hårdvaruövervakningsprogram, diskhanteringsverktyg eller spelutrustning. Sedan utnyttjar de den för att inaktivera endpoint-detekteringsverktyg, eskalera privilegier och förflytta sig i sidled innan någon märker det. Eftersom drivrutinen är signerad ser de flesta tillåt-listor och antivirusmotorer den som betrodd kod.
Forskning från Nextgen Software uppskattar att ungefär 25% av ransomware-attackerna 2024 införlivade BYOVD-tekniker specifikt för att inaktivera EDR-system före kryptering. LOLDrivers-projektet har katalogiserat över 900 signerade 64-bitarsdrivrutiner som redan är kända för att vara exploaterbara. Din gamla lagringsstyrningsdrivrutin kan finnas på den listan. Din BMC firmware-drivrutin har nästan säkert inte granskats mot den.
Microsofts drag eliminerar inte BYOVD helt och hållet. Men det stänger den mest uppenbara attackytan: hela klassen av korssignerade drivrutiner som aldrig utsattes för WHCP: s valideringskrav.
Problemet med äldre hårdvara som ingen vill prata om
De servrar som mest sannolikt har drivrutiner som inte är WHCP är inte de som du uppdaterade 2024. Det är de som du glömde bort. Det kan vara
- Integrering av industriell styrning
- Lagringskontroller på åldrande hårdvara som kör specialiserad firmware
- Säkerhetsmoduler för hårdvara med leverantörsspecifika kärndrivrutiner.
- Drivrutiner för nätverksgränssnitt för 10GbE-kort som inte har haft en firmwareversion sedan 2019
- Hypervisor-hanteringsagenter som installerades en gång och aldrig rördes igen.
Ingen av dessa dyker upp i en vanlig tillgångsinventering som ‘säkerhetsrisk’. De dyker upp som ‘fungerande infrastruktur’. Åtminstone fram till Microsofts deadline.
Microsoft rullar ut policyn i utvärderingsläge först. Windows-kärnan övervakar och granskar drivrutinsbelastningar i minst 100 timmar över minst tre systemomstarter innan verkställigheten aktiveras. Om alla drivrutiner som laddats under den tiden klarar den nya förtroendepolicyn, börjar verkställigheten.
Om någon korssignerad drivrutin inte klarar kontrollen stannar systemet i utvärderingsläge och nollställer räknaren. Det är en avsiktlig säkerhetsventil, men det innebär också att organisationer som kör problematiska äldre drivrutiner kan stanna kvar i ett evigt halvtvingat tillstånd. Det är inte samma sak som att vara skyddad.
| Riskfaktor för förare | Vad det innebär för din infrastruktur |
| Korssignerat certifikat | Föraren var aldrig WHCP-validerad; förtroendet återkallas i uppdateringen i april 2026 |
| Datum för undertecknande före 2015 | Certifikatet är äldre än de moderna WHCP-kraven; högre sannolikhet för att det inte finns någon certifierad ersättare |
| Leverantören är inte längre aktiv | Ingen WHCP-ersättning kommer att utfärdas; hårdvaran kan vara permanent försämrad efter uppdateringen |
| Hårdvara >5 år gammal | Drivrutinerna har troligen inte skickats in till WHCP igen; kontrollera LOLDrivers-projektet för kända CVE:er |
| Ingen drivrutinsuppdatering sedan 2021 | Leverantören upphörde med underhållet innan WHCP blev den obligatoriska vägen; tillgänglighet för ersättare okänd |
De hårdvarukategorier som är mest utsatta är:
- Servrar som kör specialiserade lagringskontroller
- System med egenutvecklade BMC- eller out-of-band-hanteringsdrivrutiner
- All utrustning från leverantörer som gick i konkurs eller avvecklade produktlinjer innan WHCP blev den obligatoriska vägen.
Om uppdateringscykeln för er infrastruktur är längre än fem år, vilket den troligen är, har ni med största sannolikhet ett system som påverkas. Du måste avgöra hur många system som omfattas. Antingen tar du reda på det nu eller så får du lära dig den hårda vägen genom ett längre avbrott.
Vad WHCP faktiskt certifierar och vad det inte gör
För att få en drivrutin signerad genom Windows Hardware Compatibility Program måste en leverantör skicka in drivrutinen via Microsofts Hardware Dev Center-portal. Sedan måste den klara kompatibilitets- och tillförlitlighetstester och uppfylla gällande krav på kodintegritet. Microsoft kontrollerar signeringsnycklarna. Leverantören hanterar aldrig den privata nyckeln direkt.
Ett av de återkommande problemen med korssignerade drivrutiner var nyckelhanteringen: leverantörerna hade sina egna privata nycklar och stulna nycklar ledde till att legitima certifikat användes för att signera skadliga drivrutiner. BlackLotus bootkit år 2023 använde ett gammalt korssignerat certifikat för att etablera persistens på kärnnivå på företagssystem. Microsofts säkerhetsteam dokumenterade 47 separata attacker som utnyttjade korssignerade certifikat mellan 2020 och 2025, som alla krävde nödkorrigeringar och återkallande av certifikat i efterhand.
WHCP eliminerar denna attackyta genom att centralisera nyckelförvaringen. Det tvingar också drivrutiner genom en valideringspipeline som testar mot aktuella Windows-krav istället för de som fanns när drivrutinen först skrevs.
Det här är vad WHCP inte certifierar: den underliggande hårdvaran. En WHCP-signerad drivrutin för en fem år gammal server innebär att drivrutinen klarade Microsofts nuvarande certifieringskrav. Det betyder inte att servern är aktuell, säker eller lämplig för din infrastruktur.
Drivrutinen är bara mjukvarulagret. Hårdvaran under den har sin egen livscykel, sina egna sårbarheter i den inbyggda programvaran och sin egen tidslinje för supportavslut.
Vissa organisationer kommer att behandla WHCP Efterlevnad som en kryssruta som håller äldre hårdvara i drift på obestämd tid. Verkligheten är att det bara är ett lager av säkerhetsstacken. Hårdvaran som körs under den drivrutinen behöver fortfarande patchas, ackumulerar kända CVE: er och kör firmware som inte har sett en uppdatering sedan leverantörens teknikteam flyttade vidare.
Refresh-beslutet: Hur matematiken faktiskt ser ut
Äldre hårdvara innebär inte bara en säkerhetsrisk. Den medför också en kostnad som de flesta ekonomiteam inte räknar med på rätt sätt.
Förlängda supportavtal för servrar som passerat den normala supportlivscykeln kostar vanligtvis 15-20% av den ursprungliga hårdvarukostnaden per år. Detta är utöver de kostnader för strömförsörjning och kylning som äldre, mindre effektiv hårdvara drar jämfört med utrustning av den senaste generationen. En Dell PowerEdge R730 En server som drar 400 W kontinuerligt jämfört med en R760 av nuvarande generation som kör samma arbetsbelastning på 280 W är en verklig post på elräkningen. Det gäller för alla servrar i samma grupp.
Sedan har vi incidentkostnaden. Ett enda oplanerat avbrott som orsakas av en drivrutinsinkompatibilitet kostar mer i form av ingenjörstimmar, avbrott i verksamheten och påskyndad upphandling av hårdvara än vad de flesta organisationer budgeterar för en planerad uppdatering. Skillnaden är vem som kontrollerar timingen.
De servrar som är mest utsatta för Microsofts förändring av kärnförtroendet i april 2026 är också de servrar som mest sannolikt har passerat sin optimala uppdateringspunkt i alla andra dimensioner.
Hårdvara som inte har uppdaterats på fem år eller mer köptes förmodligen innan WHCP blev den påtvingade standarden, kör drivrutiner som inte har uppdaterats sedan leverantörens supportfönster stängdes och bär på en komplicerad teknisk skuld på flera fronter.
Här är den viktigaste frågan: är det möjligt att hålla den här hårdvaran igång, och vad kan du göra nu när april 2026 är här?
Vad du ska göra med Microsofts apriluppdatering
Microsofts utvärderingsläge ger dig ett fönster. Se till att du använder det.
Det första steget är drivrutinsinventering. Glöm programvara och nätverk: du måste utvärdera dina kärndrivrutiner i produktionen. Varje server i din flotta måste granskas för drivrutiner som kedjas tillbaka till korssignerade certifikat.
Microsofts inbyggda verktyg kan visa detta: Windows-kärnans händelseloggar kommer att flagga berörda drivrutiner under utvärderingsläget. Du kan också köra sigcheck från Sysinternals mot din drivrutinskatalog för att identifiera information om certifikatkedjan innan uppdateringen berör dina system.
Korsreferera din drivrutinslista mot två källor: LOLDrivers-projektet (loldrivers.io), som upprätthåller en community-kuraterad databas med kända sårbara drivrutiner, och Microsofts egen blocklista över sårbara drivrutiner, som uppdateras via Windows Defender. Om en drivrutin på ditt system finns med på någon av dessa listor är det en aktiv attackyta just nu. Det är en separat fråga från apriluppdateringen.
För förare som inte klarar WHCP-kontrollen och inte har någon certifierad ersättare tillgänglig finns det tre alternativ:
- Implementera Application Control for Business-policyer med UEFI Secure Boot-behörighet för att tillåta den specifika drivrutinen som ett uttryckligt undantag
- Isolera den drabbade hårdvaran från nätverkssegment där förflyttning i sidled skulle kunna få konsekvenser
- Avveckla hårdvaran och återfå restvärdet på tillgången innan den skrivs av ytterligare.
Undantagsvägen är inte en permanent lösning. Microsoft har varit tydliga: varje framtida version av Windows kommer att tillämpa förtroendemodellen WHCP-first. Undantagen i den tillåtna listan som finns idag är en kompatibilitetsbrygga, inte en långsiktigt stödd hållning. Organisationer som håller äldre maskinvara igång genom manuella undantag hanterar en nedräkning, inte löser ett problem.
Avvecklingsalternativet är det enda som stänger exponeringen permanent. Beroende på hårdvarans ålder och konfiguration erbjuder avveckling en direkt väg till intäkter istället för kostnader.
Slutsats
Microsofts uppdatering i april 2026 skapade inte ett nytt problem. Det satte en tidsfrist på ett som redan fanns. Om du har äldre servrar i din infrastruktur med drivrutiner som inte är WHCP, är tidsfristen nu.
Dessa servrar var tvungna att tas ur produktion så småningom, så den här tidsfristen kan också fungera som en läxa. Allt som går in i ditt datacenter behöver en tidslinje för offramp. Att ställa in och glömma bort hårdvara hör till det förflutna.
Swedish 
English 
German 
Spanish 
French 
Dutch