Windows bevat een relatief onbekende maar cruciale beveiligingslaag die gevaarlijke drivers tegenhoudt nog vóór ze schade kunnen aanrichten. De functie heet Vulnerable Driver Blocklist en maakt deel uit van Microsofts bredere beveiligingsaanpak binnen Core Isolation.

Met meer dan een miljard actieve Windows-gebruikers is beveiliging een constante evenwichtsoefening voor Microsoft. Naast zichtbare beschermingsmechanismen zoals antivirus en SmartScreen draait er onder de motorkap nog een extra beschermingslaag die voor de meeste gebruikers onzichtbaar blijft, maar ons wel degelijk beschermt tegen gevaarlijke drivers.

Vulnerable Driver Blocklist

De Vulnerable Driver Blocklist valt onder Core Isolation in Windows 11 (en recente Windows 10-versies). Core Isolation beschermt kritieke Windows-processen door ze af te schermen in het geheugen, zodat malware er niet zomaar bij kan. Drivers (software die hardware zoals camera’s, microfoons en toetsenborden met het besturingssysteem laat communiceren) vormen een aantrekkelijk doelwit voor aanvallers. In het verleden zijn kwetsbare of gemanipuleerde drivers misbruikt om diep in Windows door te dringen, vaak met systeemrechten.

Om dat risico te beperken, onderhoudt Microsoft sinds 2022 een lijst van drivers waarvan bekend is dat ze kwetsbaar of gecompromitteerd zijn. Die drivers worden standaard geblokkeerd en kunnen niet worden uitgevoerd.

Samenwerking met hardwarefabrikanten

De blocklist wordt beheerd in samenwerking met onafhankelijke hardwareleveranciers (IHV’s) en OEM’s. Wanneer een ernstige driverkwetsbaarheid wordt gemeld, werkt Microsoft samen met de fabrikant om een patch uit te brengen. Is het risico groot genoeg en de impact op compatibiliteit beperkt, dan wordt de kwetsbare driverversie toegevoegd aan de blokkeerlijst.

Belangrijk om te weten: de lijst is niet volledig. Microsoft blokkeert niet automatisch elke kwetsbare driver. Dat is een bewuste keuze. Het blind blokkeren van drivers kan leiden tot hardwareproblemen of zelfs systeemcrashes, zoals de bekende Blue Screen of Death (BSOD). Het onderhouden van de lijst is dus een constante balans tussen veiligheid en stabiliteit.

Via Windows Update geüpdatet

De Vulnerable Driver Blocklist wordt via Windows Update aangepast, meestal tijdens grotere feature-updates. Dat betekent dat de lijst doorgaans één tot twee keer per jaar wordt bijgewerkt. Wanneer een leverancier een beveiligingsupdate uitbrengt voor een eerder kwetsbare driver, kan die contact opnemen met Microsoft om de blocklist aan te passen.

De functie werkt volgens een ‘allow all’-principe met expliciete blokkeringen: alles mag draaien, behalve wat expliciet op de zwarte lijst staat. Hoewel een strengere ‘allowlist’-aanpak veiliger zou zijn (waarbij enkel expliciet goedgekeurde drivers mogen draaien), is dat in de praktijk moeilijk haalbaar op grote schaal.

In de meeste Windows-installaties staat de Vulnerable Driver Blocklist standaard aan. De bescherming wordt automatisch afgedwongen wanneer functies zoals Hypervisor-Protected Code Integrity (HVCI), Smart App Control of Windows S-modus actief zijn. Geavanceerde gebruikers en IT-beheerders kunnen de instellingen beheren via de Windows Security-app of via Instellingen onder Privacy en beveiliging > Windows-beveiliging. Microsoft stelt daarnaast ook een offline XML-beleidsbestand ter beschikking voor zakelijke omgevingen.

Stille, maar belangrijke verdedigingslinie

De Vulnerable Driver Blocklist is geen zichtbare functie met pop-ups of meldingen, maar ze speelt een belangrijke rol in de gelaagde beveiligingsstrategie van Windows. Door bekende zwakke schakels in drivers preventief uit te schakelen, verkleint Microsoft een aanvalsvector die in het verleden herhaaldelijk werd misbruikt. Voor de meeste gebruikers werkt deze beveiligingslaag volledig op de achtergrond, precies zoals het hoort.