Windows 11: Gnadenfrist für veraltete Kernel-Treiber läuft bald ab

Schrittweise nimmt Microsoft unter Windows 11 Kernel-Treiber außer Betrieb, die nach einem veralteten und inzwischen aufgekündigten Programm zertifiziert wurden. Dabei will man den bestmöglichen Ausgleich zwischen Sicherheit und Kompatibilität schaffen.

Kernel-Treiber haben unter Windows weitreichende Rechte, dementsprechend legt Microsoft einen besonderen Fokus auf deren Sicherheit. Neue Treiber müssen die strengen Richtlinien des Windows Hardware Compatibility Program (WHCP) erfüllen.

Cross-Signed Treiber: Sanfter Rückbau beginnt

Das aus den frühen 2000ern stammende „Cross Signed Root Programm“ ist 2021 ausgelaufen, die damit verbundenen Zertifikate sind allesamt nicht mehr gültig. Dennoch hat Microsoft im Interesse der Kompatibilität diese Treiber bis jetzt unterstützt.

Beginnend mit den Sicherheitsupdates im April 2026 beginnt die schrittweise Abschaltung unter den Windows 11 Versionen 24H2, 25H2 und 26H1. Dabei geht man allerdings äußerst behutsam vor, um die praktischen Auswirkungen zu beobachten. Unternehmen können zudem eigene Ausnahmeregeln definieren, um die alten Treiber auch weiterhin verwenden zu können.

Basierend auf Nutzungsdaten, die in den vergangenen zwei Jahren unter Windows 11 und Windows Server 2025 ausgewertet wurden, hat Microsoft eine Art Whitelist von älteren Treibern erstellt, denen Windows 11 weiterhin vertraut und die daher aktiv bleiben. Zudem läuft die Richtlinie, welche das Laden der nicht mehr vertrauenswürdigen Treiber unterbindet, zunächst im Testbetrieb.

Dabei analysiert das System selbstständig, ob die neue Sicherheitsrichtlinie angewendet werden kann, ohne die Funktion von Hard- und Software zu beeinträchtigen. Frühestens nach hundert Stunden Systemlaufzeit und drei Neustarts aktiviert sich die Richtlinie und unterbindet fortan das Laden von bisher nicht bekannten Cross-Signed-Treibern. Der „Countdown“ beginnt allerdings jedes Mal von vorn, sobald ein Treiber entdeckt wird, den die Richtlinie blockieren würde.

Und was heißt das jetzt?

Das klingt ziemlich kryptisch und bedeutet im Klartext: Wer Hardware-Komponenten und Programme nutzt, die veraltete Kernel-Treiber verwenden, sollte zunächst überhaupt nichts bemerken. Wann Microsoft die Unterstützung von Cross-Signed-Treibern unter Windows endgültig einstellt, steht derzeit nicht fest.

Unternehmen haben überdies die Möglichkeit, über administrative Richtlinien alle Treiber zuzulassen, denen sie vertrauen, auch wenn diese nicht WHCP-zertifiziert sind.

Was sollte man tun?

Es empfiehlt sich, nach Installation der April-Updates alle wichtigen Programme zu starten, die potenziell einen Kernel-Treiber verwenden. Gleiches gilt für Hardware. Insbesondere nur sporadisch genutzte Peripheriegeräte sollte man mindestens einmal in Betrieb nehmen, damit die oben erwähnte Analyse sie erfasst.

Was, wenn Windows 11 einen Treiber blockiert?

Sollte die „Falle zuschnappen“ und Windows einen Treiber aufgrund der neuen Richtlinie blockieren, führt der erste Weg zum Hersteller. Möglicherweise gibt es längst einen neueren, WHCP-zertifizierten Treiber.

Wenn nicht, gibt es die Möglichkeit, die Richtlinie abzuschalten. Dafür muss man allerdings zunächst Secure Boot deaktivieren und dann verschiedene Befehle ausführen. Da ist also nichts für Laien.

Die Vorgehensweise ist in Microsofts Supportartikel im Abschnitt „How do I turn off the Windows Driver Policy“ beschrieben.

DrWindows News per WhatsApp: Abonniere unseren Kanal.

Über den Autor

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 19 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant.
Das wichtigste Motto meiner Arbeit lautet: Von mir – für Euch!