Systém Windows obsahuje funkci zabezpečení nazvanou integrita kódu jádra , která pomáhá chránit váš systém tím, že zajišťuje, aby ovladače jádra načtené ve vašem systému běžely s integritou a byly kryptograficky podepsány autoritou, které microsoftu důvěřuje.

Pokud se zobrazí tato zpráva, znamená to, že ovladač nebo software v režimu jádra není správně podepsaný nebo nesplňuje požadavky na podepisování integrity kódu jádra Windows.

dialogové okno blokování Zabezpečení Windows zobrazené při zablokování ovladače

Systém Windows vyžaduje, aby všechny nové ovladače byly odeslány a podepsány prostřednictvím procesu WHCP (Windows Hardware Compatibility Program). Dříve důvěryhodné ovladače systému Windows podepsané programem s nyní vypršeným křížovým podpisem . S aktualizací zabezpečení z dubna 2026 už ale tyto ovladače nejsou ve výchozím nastavení důvěryhodné. Oznámení je k dispozici tady: https://go.microsoft.com/fwlink/?linkid=2356646.

Co jsou zásady ovladače systému Windows?

Zásady ovladače Windows jsou zásady v jádru Windows, které omezují, které ovladače v režimu jádra se můžou na vašem zařízení načíst. Pokud je aktivní, je možné načíst pouze následující ovladače:

  1. Ovladače správně podepsané procesem certifikace Microsoft WHCP

  2. Ovladače, které se zobrazují v seznamu povolených zásad ovladačů systému Windows s důvěryhodnými ovladači podepsanými programem s křížovým podpisem

Ovladače, které nejsou podepsané microsoftem WHCP nebo se nezobrazují v zásadách ovladače systému Windows, budou zablokovány v systémech s povoleným oborem.

Tato funkce pomáhá chránit před potenciálně nebezpečnými nebo neotestovanými ovladači a snižuje riziko malwaru, nestability systému a ohrožení zabezpečení způsobených neověřenými ovladači a vydavateli ovladačů.

Jak tato funkce funguje?

Zásady ovladače Windows používají k postupnému zvýšení ochrany vašeho zařízení dvoufázový přístup, jako je Inteligentní řízení aplikací :

Režim vyhodnocení (audit)

Při první aktivaci funkce se spustí ve zkušebním režimu . V této fázi:

  • Ovladače, které by zásady zablokovaly, se auditují, ale stále můžou načíst . Tím se zajistí, že vaše zařízení bude dál normálně fungovat, zatímco Systém Windows určí, jestli je vynucení vhodné pro váš systém.

  • Systém Windows sleduje, kolik ovladačů ve vašem systému by zásady ovlivnily.

  • Pokud se během vyhodnocení zjistí ovladač, který by zásadu porušil, průběh vyhodnocování se resetuje . To znamená, že odpočítávání do vynucení začíná znovu, což systému Windows poskytne více času na sledování využití ovladačů systému.

Kritéria hodnocení

Systém Windows monitoruje následující kritéria a zjišťuje, kdy je vaše zařízení připravené k vynucení:

  • Doba provozu systému : Zařízení musí mít nahromaděných 100 hodin aktivního používání.

  • Relace spouštění : Od začátku vyhodnocení se vaše zařízení muselo alespoň 3krát (2krát na Windows Server) restartovat.

  • Žádná porušení zásad : Pokud se během období vyhodnocení načte ovladač, který by byl blokovaný, čítače doby provozu a spouštěcí relace se resetují na nulu a prodlouží se období vyhodnocení.

Pokud vaše zařízení konzistentně načítá ovladače, které splňují zásady a splňují tato kritéria, považuje se systém za vhodného kandidáta na vynucení.

Režim vynucení

Po splnění kritérií hodnocení systém Windows automaticky přejde do režimu vynucování . V této fázi:

  • Zařízení jsou chráněná proti ovladačům, které nesplňují požadavky na podepisování v zásadách ovladače systému Windows.

  • Těmto ovladačům se zablokuje načítání a generování diagnostických dat, která microsoft může zkontrolovat, a položky v protokolu událostí systému Windows, které můžete zkontrolovat.

  • Zásady obsahují seznam povolených konkrétních ovladačů a vydavatelů, aby některé běžně používané starší ovladače, které ještě nebyly certifikovány WHCP, mohly dál fungovat.

Jakmile je režim vynucení aktivní, zásady zůstanou v platnosti i při restartování.

Časté otázky

Pokud je ovladač blokován touto zásadou, může se zobrazit následující:

  • Hardwarové zařízení nefunguje správně.

  • Periferní zařízení nebo součást (tiskárna, síťový adaptér, GPU atd.) se nerozpoznala.

  • Aplikaci, která závisí na ovladači jádra, se nepodaří spustit.

Kontrolu protokolů událostí integrity kódu pomocí následujících dvou metod můžete ověřit, jestli je zodpovědná zásada ovladače systému Windows.

Ruční dotazování událostí integrity kódu    

  1. Klikněte pravým tlačítkem na tlačítko Start a vyberte Prohlížeč událostí .

  2. V levém podokně přejděte na: Protokoly aplikací a služeb > Microsoft > Windows > CodeIntegrity > Operational

  3. Vyhledejte nebo v protokolu vyfiltrujte události s těmito ID:

  • ID události 3076 Auditoval se ovladač (byl by zablokovaný, ale byl povolený, protože zásady jsou v režimu auditování).

  • ID události 3077 – Načtení ovladače bylo zablokováno , protože porušil zásady vynucení.

V podrobnostech události vyhledejte pole ID zásady . Události způsobené touto funkcí budou odkazovat na jeden z následujících identifikátorů GUID zásad:

  • Zásady auditu : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}

  • Vynutit zásadu : {8F9CB695-5D48-48D6-A329-7202B44607E3}

Dotazování událostí integrity kódu pomocí PowerShellu

K rychlému vyhledání událostí souvisejících s touto funkcí můžete použít PowerShell:

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

Podrobnosti o události budou obsahovat název auditovaného nebo blokovaného ovladače a název procesu, který se pokusil ovladač načíst, což vám může pomoct určit, kterého ovladače nebo zařízení se to týká.

Pokud jste uživatel zařízení nebo správce IT

  1. Pomocí výše uvedených kroků zkontrolujte protokoly událostí a zjistěte, který ovladač je blokovaný.

  2. Zkontrolujte, jestli služba Windows Update aktualizované ovladače. Podepsané ovladače s certifikací WHCP už můžou být dostupné prostřednictvím služba Windows Update. Přejděte na Nastavení > služba Windows Update > Upřesnit možnosti > Volitelné aktualizace > Aktualizace ovladačů a vyhledejte dostupné aktualizace ovladačů.

  3. Navštivte web výrobce . Stáhněte si nejnovější verzi ovladače z oficiální stránky podpory dodavatele – novější verze budou s větší pravděpodobností podepsané WHCP.

4. Obraťte se na dodavatele hardwaru nebo softwaru , který ovladač publikuje. Zeptejte se, jestli je k dispozici verze ovladače certifikovaná WHCP a kde k ní získat přístup. Většina dodavatelů již WHCP certifikuje své ovladače.

Pokud jste vydavatelem ovladačů

Pokud vyvíjíte a distribuujete ovladače v režimu jádra pro Windows, musíte se ujistit, že jsou ovladače podepsané prostřednictvím procesu WHCP:

  1. Připojte se k webu Windows Hardware Dev Center . Zaregistrujte se na webu Windows Hardware Dev Center pomocí platného certifikátu pro podepisování kódu EV (Rozšířené ověřování).

  2. Vytvořte odeslání . Na řídicím panelu hardwaru vytvořte nový produkt a odešlete balíček ovladačů k certifikaci.

  3. Spusťte testy HLK . Pomocí sady Windows Hardware Lab Kit (HLK) spusťte požadované testy pro typ ovladače a kategorii zařízení.

  4. Odešlete k podepsání . Jakmile testy projdou, odešlete výsledky HLK spolu s balíčkem ovladače. Microsoft podepíše ovladač certifikátem WHCP.

  5. Distribuujte podepsaný ovladač . Po podepsání publikujte ovladač certifikovaný WHCP prostřednictvím služba Windows Update a/nebo svého webu.

Důležité informace: Ovladače podepsané pouze křížovými certifikáty bez certifikace WHCP můžou být v systémech se zásadami ovladače Windows v režimu vynucování zablokované.

Upozornění: Zakázáním této funkce se sníží zabezpečení vašeho zařízení. Doporučujeme ponechat ji povolenou a pracovat s vydavateli ovladačů, abyste místo toho získali ovladače podepsané WHCP.

Zásada ovladače Windows je podepsaná zásada integrity kódu uložená v systémovém oddílu EFI a chráněná komponentami předčasného spouštění Windows. Vypnutí této funkce vyžaduje následující ruční kroky, aby škodlivý software spuštěný jako správce nemohl s funkcí manipulovat:

Krok 1: Zakázání zabezpečeného spouštění

  1. Restartujte počítač a přejděte do nabídky nastavení firmwaru rozhraní UEFI (BIOS). Obvykle to můžete udělat stisknutím klávesy během spouštění (například F2 , F10 , Del nebo Esc – podívejte se do dokumentace výrobce zařízení).

    1. Případně ve Windows: Přejděte na Nastavení > Obnovení systému > > Rozšířené spuštění > Restartovat . Pak zvolte Odstranit potíže > Upřesnit možnosti > Nastavení firmwaru UEFI > Restartovat .

  2. V nastavení firmwaru vyhledejte možnost Zabezpečené spouštění (obvykle na kartě Zabezpečení nebo Spouštění ).

  3. Nastavte zabezpečené spouštění na Zakázáno .

  4. Uložte změny a ukončete nastavení firmwaru.

Krok 2: Odstranění souborů zásad ze systémového oddílu EFI

1. Otevřete PowerShell jako správce .

2. Připojte systémový oddíl EFI spuštěním příkazu:

mountvol S: /s

Místo "S:" můžete použít libovolné dostupné písmeno jednotky.

3. Odstraňte soubor zásad auditu:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

4. Pokud jsou k dispozici i zásady vynucení, odstraňte je:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

5. Také zkontrolujte a odstraňte zásady v systémovém adresáři Windows:

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6. Odpojte oddíl EFI:

mountvol S: /d

Krok 3: Restartujte počítač

Restartujte zařízení, aby se změny projevily. Po restartování už zásady nebudou aktivní a všechny podepsané ovladače, včetně těch bez certifikace WHCP, se budou moct načíst.

Krok 4: Opětovné povolení zabezpečeného spouštění

Po odebrání souborů zásad znovu povolte zabezpečené spouštění v nastavení firmwaru rozhraní UEFI, abyste zachovali další ochranu zabezpečeného spouštění.

Funkce se spustí v režimu vyhodnocení , kde protokoluje, ale neblokuje necertifikované ovladače. Jakmile váš systém splňuje kritéria hodnocení (dostatečná doba provozu a restartování bez porušení zásad), zásady se automaticky převedou do režimu vynucení a ovladače, které nejsou podepsané WHCP, se zablokují. To může způsobit, že se přestanou načítat ovladače, které dříve fungovaly.

V současné době neexistuje způsob, jak obejít zásady pro jednotlivé řidiče. Tuto funkci můžete buď úplně zakázat (viz výše), nebo (pokud možno) kontaktovat vydavatele ovladače a požádat ho o poskytnutí verze ovladače podepsané WHCP.

Tato funkce se vztahuje pouze na ovladače v režimu jádra . Aplikace v uživatelském režimu nejsou touto zásadou ovlivněny.

Kontrolu můžete provést spuštěním následujících příkazů jako správce v PowerShellu:

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

Ano – serverové platformy Windows Server 2025 a novější. V Windows Server je však požadavek na relaci spouštění 2 restartování (v porovnání se 3 v klientských edicích). Všechna ostatní kritéria jsou stejná.

Pokud obnovíte tovární nastavení nebo přeinstalujete Systém Windows, funkce se spustí od začátku ve zkušebním režimu. Čítače vyhodnocení se resetují a přechod na vynucování začne znovu od začátku.

Potřebujete další pomoc?

Pokud problémy se zablokovaným ovladačem přetrvávají, navštivte prosím fóra Microsoft Community nebo kontaktujte podporu Microsoftu .

Budeme rádi za vaši zpětnou vazbu k této funkci. Pokud se chcete podělit o své zkušenosti:

  1. Ve Windows otevřete Centrum Feedback (stiskněte Win+F ).

2. V kroku 2 – zvolte kategorii , vyberte Zabezpečení a ochrana osobních údajů > Řízení aplikací .

Facebook LinkedIn E-mail

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti