Windows sisaldab turbefunktsiooni nimega tuuma kooditerviklus , mis aitab kaitsta teie süsteemi, tagades, et teie süsteemi laaditud tuumadraiverid töötavad terviklusega ja on krüptograafiliselt allkirjastatud Microsofti usaldusväärse asutuse poolt.
Kui näete seda teadet, tähendab see, et draiveri- või tuumrežiimi tarkvara pole õigesti allkirjastatud või ei vasta Windowsi tuuma kooditervikluse allkirja nõuetele.
Windows nõuab kõigi uute draiverite edastamist ja allkirjastamist Windowsi riistvara ühilduvusprogrammi (WHCP) protsessi kaudu. Windowsi varem usaldusväärsed draiverid, mille on allkirjastanud nüüd aegunud ristallkirjastatud programm . 2026. aasta aprilli turbevärskendusega ei usaldata neid draivereid vaikimisi enam. Teadaanne on saadaval siin: https://go.microsoft.com/fwlink/?linkid=2356646.
Mis on Windowsi draiveripoliitika?
Windowsi draiveripoliitika on Windowsi tuuma poliitika, mis piirab, milliseid süsteemirežiimi draivereid saab teie seadmesse laadida. Kui see on aktiivne, on lubatud laadida ainult järgmisi draivereid:
-
Microsoft WHCP sertimisprotsessi kaudu õigesti allkirjastatud draiverid
-
Windowsi draiveripoliitikas kuvatavad draiverid võimaldavad ristallkirjastatud programmi allkirjastatud usaldusväärsete draiverite loendit
Draiverid, mis pole Microsoft WHCP allkirjastatud või windowsi draiveripoliitikas kuvatud, blokeeritakse ulatuses ja lubatud süsteemides.
See funktsioon aitab kaitsta teid potentsiaalselt ebaturvaliste või testimata draiverite eest, vähendades ründevara, süsteemi ebastabiilsuse ja turbenõrkuste ohtu, mida põhjustavad kinnitamata draiverid ja draiveri avaldajad.
Kuidas see funktsioon töötab?
Windowsi draiveripoliitika kasutab kaheetapilist lähenemist( nt Smart App Control ), et järk-järgult suurendada teie seadme kaitset.
Hindamisrežiim (audit)
Funktsiooni esmakordsel aktiveerimisel käivitub see tutvumisrežiimis . Selles etapis:
-
Poliitika poolt blokeeritud draivereid auditeeritakse, kuid need võivad siiski laadida . See tagab, et teie seade töötab endiselt tavapäraselt, samal ajal kui Windows otsustab, kas jõustamine sobib teie süsteemiga hästi.
-
Windows jälgib, mitu draiverit teie süsteemis poliitika mõjutaks.
-
Kui hindamisel tuvastatakse poliitikat rikkuv draiver, lähtestatakse hindamise edenemine . See tähendab, et jõustamise loendus algab uuesti, andes Windowsile rohkem aega jälgida teie süsteemi draiverikasutust.
Hindamiskriteeriumid
Windows jälgib järgmisi kriteeriume, et teha kindlaks, kas teie seade on jõustamiseks valmis.
-
Süsteemi tööaeg : teie seadmes peab olema kogunenud 100 tundi aktiivset kasutust.
-
Algkäivitusseansid : teie seade peab olema pärast hindamise algust vähemalt 3 korda (2 korda Windows Server) taaskäivitatud.
-
Poliitikarikkumisi pole : kui draiver, mis oleks blokeeritud, laaditakse hindamisperioodi jooksul, lähtestatakse tööaja ja algkäivituse seansiloendurid nulliks , pikendades hindamisperioodi.
Kui teie seade laadib järjepidevalt draivereid, mis läbivad poliitikat ja vastavad nendele kriteeriumidele, peetakse süsteemi jõustamiseks heaks kandidaadiks.
Jõustamisrežiim
Kui hindamiskriteeriumid on täidetud, läheb Windows automaatselt üle jõustamisrežiimile . Selles etapis:
-
Seadmed on kaitstud draiverite eest, mis ei vasta Windowsi draiveripoliitika allkirjastamisnõuetele.
-
Nende draiverite laadimine ja genereerimine on Microsofti jaoks läbivaatamiseks blokeeritud ning Windowsi sündmustelogis on kirjed, mida saate läbi vaadata.
-
Poliitikasse on kaasatud kindlate draiverite ja väljaandjate lubatud loend, et lubada teatud laialdaselt kasutatavate päranddraiverite, mis pole veel WHCP-serditud, töötamist jätkata.
Kui jõustamisrežiim on aktiivne, jääb poliitika kehtima kõigis taaskäivitamistes.
Korduma kippuvad küsimused
Kui see poliitika blokeerib draiveri, võidakse kuvada järgmine teade.
-
Riistvaraseade ei tööta õigesti.
-
Välisseadet või komponenti (printer, võrguadapter, GPU jne) ei tuvastata.
-
Tuuma draiverist sõltuva rakenduse käivitamine nurjub.
Saate kontrollida, kas Windowsi draiveripoliitika on vastutav, kontrollides kooditervikluse sündmuselogisid, kasutades kahte järgmist meetodit.
Päringukoodi terviklussündmused käsitsi
-
Paremklõpsake nuppu Start ja valige Sündmusevaatur .
-
Liikuge vasakul paanil jaotisse Rakenduste ja teenuste logid , > Microsoft > Windows > kooditervikluse > operatiivne
-
Vaadake või filtreerige logi järgmiste ID-dega sündmuste jaoks.
-
Sündmuse ID 3076 – draiver auditeeriti (see oleks blokeeritud, kuid see oli lubatud, kuna poliitika on auditirežiimis).
-
Sündmuse ID 3077 – draiveri laadimine blokeeriti , kuna see rikkus jõustamispoliitikat.
Otsige sündmuse üksikasjadest välja Poliitika ID . Selle funktsiooni põhjustatud sündmused viitavad ühele järgmistest poliitika GUID-dest:
-
Auditipoliitika : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}
-
Jõustamispoliitika : {8F9CB695-5D48-48D6-A329-7202B44607E3}
Päringukoodi terviklussündmused PowerShelli abil
PowerShelli abil saate kiiresti leida selle funktsiooniga seotud sündmusi.
# Find audit events (Event ID 3076) from the Windows Driver audit policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
# Find block events (Event ID 3077) from the Windows Driver enforced policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
Sündmuse üksikasjad sisaldavad auditeeritud või blokeeritud draiveri nime ja draiveri laadimist proovinud protsessi nime, mis aitab teil tuvastada, millist draiverit või seadet see mõjutab.
Kui olete seadme kasutaja või IT-administraator
-
Kontrollige sündmuste logisid ülaltoodud juhiste abil, et tuvastada, milline draiver blokeeritakse.
-
Otsige värskendatud draivereid Windows Update. WHCP-serditud allkirjastatud draiverid võivad juba olla saadaval Windows Update kaudu. Saadaolevate draiverivärskenduste otsimiseks avage Sätted > Windows Update > Täpsemad suvandid > Valikulised värskendused > Draiverivärskendused.
-
Külastage tootja veebisaiti . Laadige draiveri uusim versioon alla tarnija ametlikust tugiteenuste lehelt – uuemad versioonid on tõenäoliselt WHCP-allkirjaga.
4. Pöörduge draiverit avaldava riistvara- või tarkvaratarnija poole . Küsige neilt, kas draiveri WHCP-serdiga versioon on saadaval ja kust sellele juurde pääseda. Enamik tarnijaid juba kinnitab oma draivereid.
Kui olete draiveri väljaandja
Kui arendate ja levitate Windowsi süsteemirežiimi draivereid, peate veenduma, et draiverid on WHCP-protsessi kaudu allkirjastatud.
-
Liituge Windowsi riistvara arenduskeskusega . Registreeruge Windowsi riistvara arenduskeskuses kehtiva EV (laiendatud valideerimise) koodi allkirjastamise serdiga.
-
Looge edastus . Looge riistvara armatuurlaual uus toode ja esitage oma draiveripakett sertimiseks.
-
Käivitage HLK-testid . Windows Hardware Lab Kiti (HLK) abil saate käivitada oma draiveritüübi ja seadmekategooria jaoks nõutavad testid.
-
Edasta allkirjastamiseks . Pärast testide läbimist esitage oma HLK tulemused koos draiveripaketiga. Microsoft allkirjastab draiveri WHCP-serdiga.
-
Levitage allkirjastatud draiverit . Pärast allkirjastamist avaldage WHCP-serditud draiver Windows Update ja/või oma veebisaidi kaudu.
NB!: Draiverid, mis on allkirjastatud ainult ilma WHCP sertimiseta ristsertide abil, võidakse jõustamisrežiimis blokeerida Windowsi draiveripoliitikaga süsteemides.
Hoiatus.: Selle funktsiooni keelamine vähendab teie seadme turvalisust. SOOVITAME WHCP-allkirjastatud draiverite hankimiseks jätta see lubatust alles ja draiverite väljaandjatega koostööd teha.
Windowsi draiveripoliitika on allkirjastatud kooditervikluse poliitika, mis on salvestatud EFI süsteemisektsiooni ja kaitstud Windowsi varajase algkäivituse komponentidega. Funktsiooni väljalülitamiseks tuleb teha järgmised käsitsi toimingud, et administraatorina töötav ründetarkvara ei saaks seda funktsiooni omavolilisel viisil muuta.
1. toiming: turvalise käivitamise keelamine
-
Taaskäivitage arvuti ja sisestage UEFI püsivarasätete menüü (BIOS). Tavaliselt saate seda teha, vajutades käivitamisel klahvi (nt F2 , F10 , Del või Esc – vaadake seadme tootja dokumentatsiooni)
-
Teine võimalus Windowsis on avada Sätted > Süsteem > Taaste > Täpsem käivitus > Taaskäivita kohe . Seejärel valige Tõrkeotsing > Täpsemad suvandid > UEFI püsivarasätted > Taaskäivita .
-
-
Otsige püsivara sätetes üles suvand Secure Boot (tavaliselt vahekaardil Turve või algkäivitus ).
-
Määrake turvalise algkäivituse väärtuseks Keelatud .
-
Salvestage muudatused ja sulgege püsivarasätted.
2. juhis: poliitikafailide kustutamine EFI süsteemisektsioonist
1. Avage PowerShell administraatorina .
2. Ühendage EFI süsteemisektsioon, käivitades:
mountvol S: /s
S:-i asemel saate kasutada mis tahes saadaolevat draivitähte.
3. Kustutage auditipoliitika fail:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
4. Kui jõustamispoliitika on olemas, kustutage see:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
5. Kontrollige ja kustutage poliitikad ka Windowsi süsteemikataloogist.
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
6. Eemaldage EFI-sektsioon:
mountvol S: /d
3. juhis: taaskäivitage arvuti
Muudatuste jõustumiseks taaskäivitage seade. Pärast taaskäivitamist pole poliitika enam aktiivne ja kõik allkirjastatud draiverid ( sh WHCP-sertimiseta draiverid) lubatakse laadida.
4. juhis: turvalise algkäivituse uuesti lubamine
Pärast poliitikafailide eemaldamist lubage turbekäivitus UEFI püsivarasätetes uuesti, et säilitada muud Secure Booti kaitsed.
Funktsioon käivitub hindamisrežiimis , kus see logib, kuid ei blokeeri kinnitamata draivereid. Kui teie süsteem vastab hindamiskriteeriumidele (piisav tööaeg ja taaskäivitamine ilma poliitikarikkumisteta), läheb poliitika automaatselt üle jõustamisrežiimile ja draiverid, mis pole WHCP-ga allkirjastatud, blokeeritakse. See võib põhjustada varem töötanud draiverite laadimise peatumise.
Praegu ei saa üksikute draiverite poliitikat eirata. Saate funktsiooni kas täielikult keelata (vt eespool) või eelistatavalt draiveri väljaandjaga ühendust võtta ja paluda neil esitada draiveri WHCP-allkirjastatud versioon.
See funktsioon kehtib ainult süsteemirežiimi draiverite kohta. See poliitika ei mõjuta kasutajarežiimi rakendusi.
Kontrollimiseks käivitage PowerShelli administraatorina järgmised käsud.
$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }
$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }
if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }
elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }
else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }
Jah – Windows Server 2025 ja uuemad serveriplatvormid. Kuid Windows Server on algkäivitusseansi nõue 2 taaskäivitamist (võrreldes 3 kliendiväljaannetega). Kõik muud kriteeriumid on samad.
Windowsi lähtestamisel või uuesti installimisel käivitub see funktsioon tutvumisrežiimis. Hindamisloendurid lähtestatakse ja üleminek jõustamisele algab algusest peale uuesti.
Kas vajate rohkem abi?
Kui teil esineb endiselt blokeeritud draiveriga probleeme, külastage Microsoft Community kogukonnafoorumeid või võtke ühendust Microsofti tugiteenustega .
Ootame teie tagasisidet selle funktsiooni kohta. Kasutuskogemuse jagamiseks tehke järgmist.
-
Avage Windowsis tagasisidekeskus (vajutage klahvikombinatsiooni Win + F ).
2. 2. juhis – valige kategooria , valige Turve ja privaatsus > Rakenduse juhtimine .
