Windows-update april 2026 blokkeert verouderde drivers voor betere beveiliging
Microsoft zet een grote stap in het beveiligen van de Windows-kern. Met de Windows-update van april 2026 stopt de techreus met het automatisch vertrouwen van drivers die zijn ondertekend via het verouderde 'cross-signing' programma. Hiermee wil Microsoft een hardnekkig lek dichten dat door aanvallers wordt gebruikt om malware diep in het systeem te nestelen.
Drivers zijn de essentiële verbindingsstukken tussen hardware en software. Omdat ze direct in de kern (kernel) van het besturingssysteem opereren, hebben ze volledige toegang tot het systeem. Het 'cross-signing' systeem, dat stamt uit de vroege jaren 2000, bood ontwikkelaars een relatief makkelijke manier om hun drivers als vertrouwd te markeren. Echter, dit proces ontbeerde de strenge veiligheidscontroles van moderne standaarden, wat leidde tot misbruik, diefstal van certificaten en de verspreiding van kwaadaardige code.
Veiligheid versus compatibiliteit
Hoewel het programma al in 2021 werd stopgezet, bleven veel van deze oude certificaten uit praktische overwegingen vertrouwd. Microsoft kiest nu voor een nieuwe aanpak die veiligheid combineert met werkbaarheid.
Systemen die draaien op Windows 11 (versies 24H2 tot 26H1) en Windows Server 2025 gaan over op een nieuw beleid: alleen drivers die de strenge keuring van het Windows Hardware Compatibility Program (WHCP) hebben doorstaan, worden standaard geladen. Voor een beperkt aantal veelgebruikte en betrouwbare oude drivers maakt Microsoft een uitzondering via een expliciete 'allow list'.
De 'Evaluatiemodus'
Om te voorkomen dat printers, scanners of specifieke bedrijfssoftware plotseling stoppen met werken, voert Microsoft de wijziging voorzichtig in via een evaluatiemodus. Na de update van april 2026 gaat Windows eerst controleren of het blokkeren van oude drivers problemen veroorzaakt:
- De test: Het systeem moet minimaal 100 uur draaien en enkele keren opnieuw opstarten.
- De uitslag: Laden er in die tijd alleen moderne of goedgekeurde drivers? Dan wordt het strengere beleid definitief geactiveerd.
- Het vangnet: Wordt er een noodzakelijke maar niet-goedgekeurde oude driver gedetecteerd? Dan blijft het systeem in evaluatiemodus en wordt er niets geblokkeerd.
Controle voor bedrijven
Voor organisaties die eigen, interne drivers gebruiken die niet door Microsoft gekeurd kunnen worden, is er een ontsnappingsroute. Via Application Control for Business kunnen beheerders handmatig eigen certificaten toevoegen aan de vertrouwenslijst, mits deze beveiligd zijn via de hardwarematige Secure Boot-instellingen van de computer.
Met deze update verkleint Microsoft het aanvalsoppervlak van Windows aanzienlijk. Het bedrijf laat hiermee zien dat de tijd van "beveiliging door onduidelijkheid" definitief voorbij is; in de moderne digitale wereld is expliciet vertrouwen de enige veilige standaard.
Meer over Hardware
Over Witold Kepinski
