Microsoft reforça blindagem do kernel no Windows 11 e no Windows Server 2025
A Microsoft decidiu apertar significativamente o cerco em torno da segurança do kernel no Windows 11 e no Windows Server 2025. A empresa vai deixar de confiar, por padrão, em drivers assinados pelo antigo modelo de “cross-signing”, substituindo esse mecanismo herdado por uma política muito mais rígida de validação e assinatura de drivers.
A mudança começa a valer a partir da atualização de abril de 2026 e impacta diretamente as versões Windows 11 24H2, 25H2, 26H1, além do Windows Server 2025. Nessas edições, o sistema operacional passará a aceitar automaticamente apenas drivers aprovados e assinados por meio do Windows Hardware Compatibility Program (WHCP), o programa oficial da Microsoft para certificação de hardware e drivers.
No fluxo atual do WHCP, a Microsoft realiza uma cadeia de validações antes de permitir que um driver seja considerado confiável. Isso inclui verificar a identidade do fornecedor, submeter o driver a testes de compatibilidade com o sistema operacional e executar checagens de segurança específicas. Somente após passar por todas essas etapas o driver recebe a assinatura final, sob controle direto da Microsoft, o que reduz a exposição a certificados comprometidos ou mal gerenciados.
O alvo principal da mudança é o mecanismo de cross-signing criado no início dos anos 2000. Na época, a ideia era simplificar a distribuição de drivers de terceiros: desenvolvedores podiam assinar seus próprios drivers utilizando certificados emitidos por autoridades certificadoras externas, sem depender diretamente do pipeline de assinatura da Microsoft. Esse modelo funcionou bem para acelerar a adoção de novos dispositivos, mas, com o amadurecimento do ecossistema de ameaças, passou a ser um ponto sensível na segurança do Windows.
Na prática, o cross-signing se baseava na confiança de que os desenvolvedores protegeriam adequadamente suas chaves privadas e de que os certificados emitidos por terceiros não seriam abusados. Com o passar do tempo, grupos maliciosos começaram a explorar exatamente essa fragilidade: roubo de certificados, uso de certificados comprometidos e assinatura de drivers maliciosos ou vulneráveis tornaram-se vetores comuns para instalar rootkits e outros componentes de baixo nível difíceis de detectar.
Ao restringir esse caminho legado e privilegiar apenas drivers submetidos ao WHCP, a Microsoft quer reduzir a superfície de ataque associada a código que opera em modo kernel. Drivers executados nesse nível têm privilégios muito elevados: podem interagir diretamente com o núcleo do sistema, manipular memória, interferir em mecanismos de segurança e criar rotinas de persistência praticamente invisíveis para soluções tradicionais de proteção. Se um atacante consegue carregar um driver malicioso com privilégios de kernel, ele ganha um controle profundo sobre a máquina comprometida.
Essa decisão está alinhada com um movimento mais amplo de “endurecimento” do sistema operacional, em que o kernel se torna cada vez mais um perímetro crítico a ser protegido. Diversas campanhas avançadas de ameaças persistentes (APT), bem como ferramentas utilizadas por grupos de ransomware, já exploraram drivers vulneráveis ou abusaram de certificados para burlar mecanismos como antivírus, EDR e controles de integridade. Ao cortar o acesso automático ao modelo antigo de assinatura, a Microsoft tenta fechar uma rota historicamente explorada por operadores de malware.
A empresa, no entanto, reconhece o risco de impacto operacional, especialmente em ambientes corporativos que dependem de drivers legados, soluções específicas de hardware ou softwares antigos que não passaram pelo processo de certificação moderno. Para mitigar esse risco, a transição será feita em duas fases: primeiro, em modo de avaliação; depois, com o bloqueio efetivo.
Na fase de avaliação, o kernel não bloqueará imediatamente o carregamento de drivers assinados via cross-signing, mas vai monitorar atentamente quais drivers são carregados e registrar essas informações. Esse período serve para que administradores de TI e equipes de segurança identifiquem dependências de drivers antigos, mapeiem potenciais quebras de compatibilidade e planejem atualizações ou substituições.
Segundo a Microsoft, para o Windows 11, o modo de avaliação será considerado completo após 100 horas de uso efetivo do sistema e três reinicializações. No Windows Server 2025, o critério será de 100 horas de uso e duas reinicializações. Só depois de cumpridas essas condições o bloqueio pleno será ativado, fazendo com que drivers que não atendam às novas exigências deixem de ser carregados automaticamente.
Para ambientes corporativos, isso significa que o tempo até o bloqueio não é apenas técnico, mas estratégico. Equipes de infraestrutura precisarão revisar inventários de hardware e software, verificar quais drivers ainda utilizam o modelo de cross-signing, contatar fornecedores para obter versões atualizadas e, quando não houver suporte, avaliar planos de substituição de equipamentos ou aplicações. Em setores que dependem fortemente de dispositivos especializados – como saúde, indústria, automação e telecom – essa análise prévia será essencial para evitar interrupções.
Um ponto importante é que a mudança não elimina completamente a possibilidade de uso de drivers não certificados, mas torna o caminho muito mais restrito e controlado. Em cenários específicos, como em laboratórios, ambientes de desenvolvimento ou testes, administradores podem recorrer a políticas de grupo, modos especiais de inicialização ou configurações avançadas para permitir o carregamento de drivers que não passaram pelo WHCP. Porém, essas exceções tendem a ser vistas como medidas temporárias e de alto risco, não recomendadas para produção.
Do ponto de vista de segurança ofensiva e defensiva, a decisão da Microsoft impacta diretamente a forma como testes de intrusão, pesquisas em segurança e desenvolvimento de ferramentas de análise de baixo nível serão conduzidos. Profissionais que utilizam drivers próprios para monitoramento, coleta de artefatos ou simulação de ataques em modo kernel terão de alinhar suas práticas a esse novo modelo de assinatura ou adaptar seus métodos para operar em modo usuário, usando APIs oficiais.
Também haverá reflexos no mercado de soluções de segurança. Fabricantes de antivírus, EDR, soluções de monitoramento e controle de dispositivos precisam garantir que todos os seus drivers estejam compatíveis com os requisitos do WHCP e com as novas políticas de carregamento do Windows. Embora muitos fornecedores já sigam esse fluxo há anos, a desativação do cross-signing como padrão obriga qualquer componente legado a ser revisado ou substituído.
Para usuários finais, especialmente em dispositivos domésticos, o impacto tende a ser menos visível, mas ainda relevante. A medida reduz a chance de instalação de drivers maliciosos disfarçados de componentes legítimos, diminui o risco de rootkits em campanhas de malware avançadas e contribui para uma base mais robusta de proteção, combinando-se com outras funcionalidades de segurança já presentes no Windows 11, como isolamento de núcleo, proteção de integridade de memória e controles de boot seguro.
Já para pequenas e médias empresas, o principal desafio será de governança de TI. Muitas vezes, esses ambientes contam com equipamentos ou softwares antigos que “simplesmente funcionam” há anos, sem um controle rigoroso de versão de driver ou de origem de assinatura. Com o novo modelo, essa falta de visibilidade pode se traduzir em paradas inesperadas após o fim do período de avaliação. Implementar inventário de ativos, monitoramento de eventos de kernel e processos formais de atualização passa a ser mais do que boa prática: torna-se requisito para manter o ambiente estável.
Em termos estratégicos, o movimento da Microsoft sinaliza uma tendência clara: componentes de alto privilégio, como drivers de kernel, precisam estar sob cadeias de confiança cada vez mais restritas, auditáveis e centralizadas. A era em que qualquer desenvolvedor podia assinar drivers com um certificado padrão e ter o mesmo nível de confiança que um grande fornecedor está chegando ao fim. Isso aumenta a barreira de entrada para atacantes, mas também eleva a responsabilidade dos fabricantes de hardware e software em manter seus processos de desenvolvimento e assinatura em conformidade com padrões mais rígidos.
No longo prazo, a expectativa é que a desativação do cross-signing como padrão reduza significativamente o número de campanhas que exploram drivers vulneráveis ou maliciosos para escalar privilégios. Não se trata de uma solução absoluta – ainda haverá tentativas de explorar falhas em drivers legítimos ou corromper cadeias de fornecimento -, mas de um passo importante para diminuir a eficácia de uma classe inteira de ataques que se apoiam na fragilidade histórica da confiança em drivers de terceiro nível.
Para administradores, a recomendação prática é clara: usar o período de avaliação não como um “intervalo de conforto”, mas como uma janela ativa de diagnóstico. Revisar logs, identificar drivers que serão bloqueados, alinhar-se com fornecedores e planejar atualizações é o caminho para aproveitar o ganho de segurança sem sacrificar a continuidade operacional quando o novo padrão de proteção do kernel estiver plenamente em vigor.