Zásady ovladačů ve Windows

Systém Windows obsahuje funkci zabezpečení nazvanou Integrita kódu jádra , která pomáhá chránit váš systém tím, že zajišťuje, aby ovladače jádra načtené do vašeho systému běžely s integritou a byly kryptograficky podepsány autoritou, které společnost Microsoft důvěřuje.

Pokud se zobrazí tato zpráva, znamená to, že ovladač nebo software režimu jádra není řádně podepsán nebo nesplňuje požadavky na podepisování kódu jádra Windows.

Zabezpečení Windows dialogové okno blokování zobrazené při zablokování ovladače

Systém Windows vyžaduje, aby všechny nové ovladače byly odeslány a podepsány prostřednictvím procesu Windows Hardware Compatibility Program (WHCP). Windows dříve důvěryhodných ovladačů podepsaných programem s křížovým podpisem , jehož platnost nyní vypršela. V aktualizaci zabezpečení z dubna 2026 už ale tyto ovladače nejsou ve výchozím nastavení důvěryhodné. Oznámení je k dispozici zde: https://go.microsoft.com/fwlink/?linkid=2356646.

Co jsou zásady ovladačů Windows?

Zásada ovladače pro Windows je zásada jádra Windows, která omezuje ovladače v režimu jádra, které se můžou načíst na vašem zařízení. Pokud je tato možnost aktivní, je možné načíst pouze následující ovladače:

  1. Ovladače řádně podepsané prostřednictvím certifikačního procesu Microsoft WHCP
  2. Ovladače, které se zobrazují v zásadách pro ovladače Windows, umožňují seznam důvěryhodných ovladačů podepsaných programem s křížovým podpisem

Ovladače, které nejsou podepsané certifikátem Microsoft WHCP nebo se nezobrazují v zásadách ovladače Windows, budou blokované v systémech s povoleným rozsahem.

Tato funkce pomáhá chránit uživatele před potenciálně nebezpečnými nebo netestovanými ovladači a snižuje riziko malwaru, nestability systému a chyb zabezpečení způsobených neprověřenými ovladači a vydavateli ovladačů.

Jak tato funkce funguje?

Zásady ovladače Windows používají dvoufázový přístup, jako je například inteligentní řízení aplikací , k postupnému zvyšování ochrany na vašem zařízení:

Režim vyhodnocení (Audit)

Při první aktivaci se funkce spustí v režimu vyhodnocení . V této fázi:

  • Ovladače, které by byly blokovány zásadami, jsou auditovány, ale stále je povoleno načítání . Tím zajistíte, že vaše zařízení bude dál fungovat normálně, zatímco systém Windows určí, jestli je vynucené opatření pro váš systém vhodné.
  • Systém Windows sleduje, kolik ovladačů ve vašem systému by zásada ovlivnila.
  • Pokud je během vyhodnocování zjištěn ovladač, který by mohl zásadu porušit, průběh vyhodnocení se resetuje . To znamená, že odpočítávání do vynucení začíná znovu, takže systém Windows má více času sledovat používání ovladačů systému.

Kritéria hodnocení

Windows monitoruje následující kritéria, aby určil, kdy je vaše zařízení připravené na vynucená opatření:

  • Doba provozu systému : Vaše zařízení musí mít nashromážděno 100 hodin aktivního používání.
  • Relace spouštění : Od zahájení vyhodnocování muselo být vaše zařízení nejméně 3krát restartováno (2krát v systému Windows Server).
  • Žádné porušení zásad : Pokud je během zkušebního období načten ovladač, který by byl zablokován, jsou čítače provozuschopnosti a relace spouštění resetovány na nulu , čímž se prodlouží zkušební období.

Pokud vaše zařízení konzistentně načítá ovladače, které projdou zásadami a splňují tato kritéria, je systém považován za vhodného kandidáta na vynucení.

Režim vynucení

Jakmile jsou splněna kritéria hodnocení, systém Windows automaticky přejde do režimu vynucení . V této fázi:

  • Zařízení jsou chráněná proti ovladačům, které nesplňují požadavky na podepisování v zásadách ovladačů Windows.
  • U těchto ovladačů je zablokováno načítání a generují diagnostická data, která si může Microsoft prohlédnout, a položky v protokolu událostí Windows, které můžete zkontrolovat.
  • Do zásad je zahrnutý seznam povolených konkrétních ovladačů a vydavatelů, který umožňuje některým široce používaným starším ovladačům, které ještě nemají certifikaci WHCP, dál fungovat.

Jakmile je režim vynucení aktivní, zásady zůstávají v platnosti při restartováních.

Časté otázky

Návody jak poznám, že je ovladač blokován?

Pokud je ovladač blokován touto zásadou, může se zobrazit:

  • Hardwarové zařízení nefunguje správně.
  • Periferie nebo součást (tiskárna, síťový adaptér, GPU atd.) není rozpoznána.
  • Aplikaci, která závisí na ovladači jádra, se nepodaří spustit.

To, jestli jsou za to zodpovědné zásady ovladače Windows, můžete ověřit tak, že zkontrolujete protokoly událostí integrity kódu pomocí následujících dvou metod.

Ruční dotaz na události integrity kódu

  1. Klikněte pravým tlačítkem myši na tlačítko Start a vyberte možnost Prohlížeč událostí .
  2. V levém podokně přejděte na: Aplikace a služby Protokoly>Microsoft>Windows>CodeIntegrity>Operational
  3. Vyhledejte v protokolu události s těmito ID (nebo je filtrujte):
  • Událost s ID 3076 – ovladač byl auditován (byl by zablokován, ale byl povolen, protože zásada je v režimu auditu).
  • Událost s ID 3077 – načítání ovladače bylo zablokováno , protože porušil zásady vynucení.

V podrobnostech o události vyhledejte pole ID zásady . Události způsobené touto funkcí budou odkazovat na jeden z následujících identifikátorů GUID zásad:

  • Zásady auditu : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}
  • Vynucení zásady : {8F9CB695-5D48-48D6-A329-7202B44607E3}

Dotazování událostí integrity kódu pomocí PowerShellu

Události související s touto funkcí můžete rychle najít pomocí PowerShellu:

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

Podrobnosti o události budou zahrnovat název ovladače, který byl auditován nebo zablokován, a název procesu, který se pokusil ovladač načíst, což vám může pomoct identifikovat, kterého ovladače nebo zařízení se to týká.

Co mám dělat, když je ovladač zablokovaný?

Pokud jste uživatel zařízení nebo správce IT

  1. Pomocí výše uvedených kroků zkontrolujte protokoly událostí a zjistěte, který ovladač je blokován.

  2. Aktualizované ovladače najdete ve službě služba Windows Update. Podepsané ovladače s certifikací WHLCP už můžou být dostupné prostřednictvím služby služba Windows Update. Přejděte do Nastavení>– služba služba Windows Update (Upřesnit> možnosti>)Volitelné aktualizace>Aktualizace ovladačů pro vyhledání dostupných aktualizací ovladačů.

  3. Navštivte webové stránky výrobce . Stáhněte si nejnovější verzi ovladače z oficiální stránky podpory dodavatele – novější verze budou pravděpodobně podepsány WHCP.

  4. Obraťte se na dodavatele hardwaru nebo softwaru , který ovladač publikuje. Zeptejte se jich, zda je k dispozici verze ovladače certifikovaná technologií WHLCP a kde k ní mají přístup. Většina dodavatelů již své ovladače certifikuje pomocí WHCP.

Pokud jste vydavatel ovladače:

Pokud vyvíjíte a distribuujete ovladače Windows v režimu jádra, musíte zajistit, aby vaše ovladače byly podepsány procesem WHCP:

  1. Připojte se k Windows Hardware Dev Center . Zaregistrujte se na webu Windows Hardware Dev Center s platným certifikátem pro podepisování kódu EV (Extended Validation).
  2. Vytvoření odeslání . V řídicím panelu hardwaru vytvořte nový produkt a odešlete balíček ovladače k certifikaci.
  3. Spusťte testy HLK . Pomocí sady Windows Hardware Lab Kit (HLK) spusťte požadované testy pro váš typ ovladače a kategorii zařízení.
  4. Odešlete k podpisu . Po úspěšném dokončení testů odešlete výsledky HLK spolu s balíčkem ovladače. Microsoft ovladač podepíše certifikátem WHCP.
  5. Distribuujte podepsaný ovladač. Po podepsání publikujte ovladač certifikovaný WHLCP prostřednictvím služba služba Windows Update a/nebo svého webu.

Důležité

Ovladače podepsané pouze pomocí křížových certifikátů bez certifikace WHCP mohou být blokovány v systémech, kde jsou zásady ovladače Windows v režimu vynucení.

Návody vypnout zásady ovladačů Windows?

Varování

Zakázání této funkce snižuje zabezpečení vašeho zařízení. Doporučujeme ponechat ho povolený a spolupracovat s vydavateli ovladačů s cílem získat ovladače podepsané certifikátem WHCP.

Zásada ovladače Windows je podepsaná zásada integrity kódu uložená na systémovém oddílu rozhraní EFI a chráněná komponentami dřívějšího spuštění Windows. Vypnutí této funkce vyžaduje následující ruční kroky, aby škodlivý software spuštěný jako správce nemohl s touto funkcí manipulovat:

Krok 1: Zakažte zabezpečené spouštění

  1. Restartujte počítač a přejděte do nabídky nastavení firmwaru UEFI (BIOS). Obvykle to můžete provést stisknutím klávesy během spouštění systému (například F2 , F10 , Del nebo Esc – podívejte se do dokumentace výrobce zařízení)

    1. Případně ve Windows: přejděte do Nastavení>Obnovení>systému>Pokročilé spuštění>Restartovat nyní . Poté zvolte Poradce při potížích>Pokročilé možnosti> Nastavení >firmwaru UEFIRestartovat .
  2. V nastavení firmwaru vyhledejte možnost Zabezpečené spouštění (obvykle na kartě Zabezpečení nebo Spouštění ).

  3. Nastavte zabezpečené spouštění na zakázáno .

  4. Uložte změny a ukončete nastavení firmwaru.

Krok 2: Odstranění souborů zásad ze systémového oddílu rozhraní EFI

1.   Otevřete PowerShell jako správce .

2.   Připojte systémový oddíl EFI spuštěním příkazu:

mountvol S: /s

Místo písmene "S:" můžete použít jakékoli dostupné písmeno jednotky.

3.   Odstraňte soubor zásad auditu:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

4.    Pokud jsou přítomny i zásady vynucení, odstraňte je:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

5.   Zkontrolujte a odstraňte zásady také ze systémového adresáře Windows:

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6.    Odpojte oddíl EFI:

mountvol S: /d

Krok 3: Restartování počítače

Restartujte zařízení, aby se změny projevily. Po restartování už zásada nebude aktivní a všechny podepsané ovladače – včetně těch, které nemají certifikaci WHCP – se budou moct načíst.

Krok 4: Opětovné povolení zabezpečeného spouštění

Po odebrání souborů zásad znovu povolte zabezpečené spouštění v nastaveních firmwaru UEFI, aby se zachovaly další ochrany zabezpečeného spouštění.

Proč můj ovladač předtím fungoval a najednou se zablokoval?

Funkce se spustí v režimu vyhodnocení , kdy protokoluje, ale neblokuje necertifikované ovladače. Poté, co váš systém splní hodnotící kritéria (dostatečná doba provozu a restartování bez porušení zásad), zásada automaticky přejde do režimu vynucení a ovladače, které nejsou podepsány WHCP, budou zablokovány. To může způsobit, že se ovladače, které dříve fungovaly, přestanou načítat.

Můžu povolit jednotlivé ovladače, aniž bych tuto funkci úplně zakázal?

V současné době neexistuje způsob, jak obejít zásady pro jednotlivé řidiče. Funkci můžete buď úplně vypnout (viz výše), nebo (pokud možno ) kontaktovat vydavatele ovladače a požádat ho, aby poskytl verzi ovladače podepsanou WHCP.

Týká se to aplikací uživatelského režimu nebo jenom ovladačů jádra?

Tato funkce se týká pouze ovladačů v režimu jádra . Na aplikace v uživatelském režimu se tato zásada nevztahuje.

Je moje zařízení v režimu vyhodnocení nebo režimu vynucení?

Můžete to zkontrolovat spuštěním následujících příkazů jako správce v PowerShellu:

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

Má to vliv na Windows Server?

Ano – serverové platformy pro Windows Server 2025 a novější. V systému Windows Server jsou však požadavek relace spouštění 2 restartování (ve srovnání se 3 v klientských edicích). Všechna ostatní kritéria jsou stejná.

Co se stane, když obnovím tovární nastavení nebo přeinstaluji Windows?

Pokud obnovíte systém Windows do továrního nastavení nebo ho přeinstalujete, spustí se tato funkce znovu v režimu vyhodnocení. Počítadla vyhodnocení budou resetována a přechod na vynucování začne znovu od začátku.

Potřebujete další pomoc?

Pokud budete mít i nadále problémy se zablokovaným ovladačem, navštivte fóra na webu Microsoft Community nebo kontaktujte podporu společnosti Microsoft .

Rádi bychom znali váš názor na tuto funkci. Chcete-li se podělit o své zkušenosti:

  1. Ve Windows otevřete Centrum Feedback (stiskněte klávesy Win + F ).

2. V kroku 2 – vyberte kategorii , vyberte Řízení aplikací pro zabezpečení a ochranu osobních údajů> .