Windows sisältää suojausominaisuuden nimeltä ydinkoodin eheys , joka auttaa suojaamaan järjestelmääsi varmistamalla, että järjestelmään ladatut ydinohjaimet toimivat eheydellä ja että Microsoftin luottama viranomainen allekirjoittaa ne salatusti.
Jos näet tämän viestin, se tarkoittaa, että ohjain- tai ydintilaohjelmistoa ei ole allekirjoitettu oikein tai se ei täytä Windows-ytimen koodin eheyden allekirjoitusvaatimuksia.
Windows edellyttää, että kaikki uudet ohjaimet lähetetään ja allekirjoitetaan Windowsin laitteiden yhteensopivuusohjelman (WHCP) prosessin kautta. Windowsin aiemmin luotetut ohjaimet, jotka on allekirjoittanut nyt vanhentunut ristiin allekirjoitettu ohjelma . Huhtikuun 2026 suojauspäivityksen myötä näihin ohjaimiin ei kuitenkaan enää oletusarvoisesti luoteta. Ilmoitus on saatavilla täällä: https://go.microsoft.com/fwlink/?linkid=2356646.
Mikä on Windowsin ohjainkäytäntö?
Windowsin ohjainkäytäntö on Windows-ytimen käytäntö, joka rajoittaa sitä, mitkä ydintilan ohjaimet voivat latautua laitteeseesi. Kun toiminto on aktiivinen, vain seuraavat ohjaimet voivat ladata:
-
Ohjaimet, jotka on allekirjoitettu oikein Microsoft WHCP -sertifiointiprosessin kautta
-
Windowsin ohjainkäytännössä näkyvät ohjaimet sallivat ristiin allekirjoitetun ohjelman allekirjoittamien hyvämaineisten ohjainten luettelon
Ohjaimet, jotka eivät ole Microsoft WHCP-allekirjoitettuja tai jotka näkyvät Windowsin ohjainkäytännössä, estetään laajuuteen perustuvissa järjestelmissä.
Tämä ominaisuus auttaa suojaamaan sinua mahdollisesti haitallisilta tai testaamattomilta ohjaimilta, mikä vähentää haittaohjelmien, järjestelmän epävakauden ja suojaushaavoittuvuuksien riskiä, jotka johtuvat tarkistamattomista ohjaimista ja ohjainjulkaisijoista.
Miten tämä ominaisuus toimii?
Windowsin ohjainkäytännössä käytetään kaksivaiheista lähestymistapaa, kuten Smart App Controlia , laitteen suojauksen lisäämiseksi asteittain:
Arviointitila (valvonta)
Kun ominaisuus on aktivoitu ensimmäisen kerran, se käynnistyy arviointitilassa . Tässä vaiheessa:
-
Ohjaimet, jotka käytäntö estää, valvotaan, mutta saavat silti ladata . Näin varmistat, että laitteesi toimii edelleen normaalisti, kun taas Windows määrittää, sopiiko pakotus järjestelmääsi.
-
Windows seuraa, kuinka motaan ohjaimiin käytäntö vaikuttaa järjestelmässäsi.
-
Jos arvioinnin aikana havaitaan ohjain, joka rikkoisi käytäntöä, arvioinnin edistyminen palautetaan . Tämä tarkoittaa, että toimeenpanon lähtölaskenta alkaa alusta, jolloin Windowsilla on enemmän aikaa tarkkailla järjestelmäsi ohjaimen käyttöä.
Arviointiperusteet
Windows valvoo seuraavia ehtoja määrittääkseen, milloin laitteesi on valmis pakotettavaksi:
-
Järjestelmän käyttöaika : Laitteessa on oltava 100 tuntia aktiivista käyttöä.
-
Käynnistysistunnot : Laitteesi on täytynyt käynnistää uudelleen vähintään kolme kertaa (2 kertaa Windows Server) arvioinnin aloittamisen jälkeen.
-
Ei käytäntörikkomuksia : Jos estetty ohjain ladataan arviointijakson aikana, käyttöaika- ja käynnistysistunnon laskurit nollataan , mikä pidentää arviointijaksoa.
Jos laitteesi lataa jatkuvasti ohjaimia, jotka läpäisevät käytännön ja täyttävät nämä ehdot, järjestelmää pidetään hyvänä pakotuskeinona.
Pakotustila
Kun arviointiehdot täyttyvät, Windows siirtyy automaattisesti pakotustilaan . Tässä vaiheessa:
-
Laitteet on suojattu ohjaimilta, jotka eivät täytä Windowsin ohjainkäytännön allekirjoitusvaatimuksia.
-
Näitä ohjaimia estetään lataamasta ja luomasta Diagnostiikkatietoja Microsoftille tarkistettavaksi sekä Windowsin tapahtumalokin merkintöjä, joita voit tarkastella.
-
Käytäntöön sisältyy sallittu luettelo tietyistä ohjaimista ja julkaisijoista, jotta tietyt laajalti käytetyt vanhat ohjaimet, joita ei ole vielä sertifioitu WHCP-sertifioiduksi, voivat jatkaa toimintaansa.
Kun pakotustila on aktiivinen, käytäntö pysyy voimassa uudelleenkäynnistyksissä.
Usein kysyttyjä kysymyksiä
Jos tämä käytäntö estää ohjaimen käytön, saatat nähdä:
-
Laite ei toimi oikein.
-
Oheislaitetta tai osaa (tulostinta, verkkosovitinta, grafiikkasuoritinta jne.) ei tunnisteta.
-
Ydinohjaimesta riippuvainen sovellus ei käynnisty.
Voit varmistaa, onko Windowsin ohjainkäytäntö vastuussa, tarkistamalla Koodin eheys -tapahtumalokit seuraavilla kahdella tavalla.
Kyselykoodin eheystapahtumat manuaalisesti
-
Napsauta aloituspainiketta hiiren kakkospainikkeella ja valitse Tapahtumienvalvonta .
-
Siirry vasemmanpuoleisessa ruudussa kohtaan: Sovellukset ja palvelut -lokit , > Microsoft > Windows > CodeIntegrity > Operational
-
Etsi tai suodata loki seuraavia tunnuksia sisältäviä tapahtumia varten:
-
Tapahtumatunnus 3076 – Ohjain on tarkastettu (se olisi estetty, mutta sallittu, koska käytäntö on valvontatilassa).
-
Tapahtumatunnus 3077 – Ohjainta estettiin lataamasta, koska se rikkoi täytäntöönpanokäytäntöä.
Etsi tapahtuman tiedoista Käytäntötunnus-kenttä . Tämän ominaisuuden aiheuttamat tapahtumat viittaavat johonkin seuraavista käytännön GUID-tunnuksista:
-
Valvontakäytäntö : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}
-
Pakota käytäntö : {8F9CB695-5D48-48D6-A329-7202B44607E3}
Kyselykoodin eheystapahtumat PowerShellin avulla
PowerShellin avulla voit etsiä nopeasti tähän ominaisuuteen liittyviä tapahtumia:
# Find audit events (Event ID 3076) from the Windows Driver audit policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
# Find block events (Event ID 3077) from the Windows Driver enforced policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
Tapahtuman tiedot sisältävät valvotun tai estetyn ohjaimen nimen sekä sen prosessin nimen, joka yritti ladata ohjaimen, mikä voi auttaa tunnistamaan, mikä ohjain tai laite vaikuttaa.
Jos olet laitteen käyttäjä tai IT-järjestelmänvalvoja
-
Tarkista tapahtumalokit yllä olevien ohjeiden avulla, mikä ohjain estetään.
-
Etsi päivitettyjä ohjaimia Windows Update. WHCP-sertifioidut allekirjoitetut ohjaimet voivat olla jo saatavilla Windows Update kautta. Tarkista saatavilla olevat ohjainpäivitykset kohdasta Asetukset > Windows Update > Lisäasetukset > Valinnaiset päivitykset > ohjainpäivitykset.
-
Siirry valmistajan sivustoon . Lataa uusin ohjainversio toimittajan viralliselta tukisivulta – uudemmat versiot ovat todennäköisemmin WHCP-allekirjoitettuja.
4. Ota yhteyttä ohjaimen julkaisevan laitteiston tai ohjelmiston toimittajaan . Kysy, onko ohjaimesta saatavilla WHCP-sertifioitua versiota ja missä sitä voi käyttää. Useimmat toimittajat sertifioivat jo whcp-ohjaimensa.
Jos olet ohjaimen julkaisija
Jos kehität ja jaat Windowsin ydintilan ohjaimia, varmista, että ohjaimet on allekirjoitettu WHCP-prosessin kautta:
-
Liity Windowsin laitteiston kehityskeskukseen . Rekisteröidy Windows hardware dev Centeriin kelvollisen EV (Extended Validation) -koodin allekirjoitusvarmenteen avulla.
-
Luo lähetys . Luo laitteiston koontinäytössä uusi tuote ja lähetä ohjainpaketti sertifiointia varten.
-
Suorita HLK-testit . Käytä Windows Hardware Lab Kitiä (HLK) ohjaintyypin ja laiteluokan tarvittavien testien suorittamiseen.
-
Lähetä allekirjoitettamista varten . Kun testit on suoritettu, lähetä HLK-tulokset yhdessä ohjainpaketin kanssa. Microsoft allekirjoittaa ohjaimen WHCP-varmenteella.
-
Jaa allekirjoitettu ohjain . Kun olet allekirjoittanut, julkaise WHCP-sertifioitu ohjain Windows Update ja/tai sivustosi kautta.
Tärkeää: Ohjaimet, jotka on allekirjoitettu käyttämällä vain ristivarmenteita ilman WHCP-sertifiointia, voidaan estää järjestelmissä, joissa Windowsin ohjainkäytäntö on täytäntöönpanotilassa.
Varoitus: Tämän ominaisuuden poistaminen käytöstä vähentää laitteesi suojausta. Suosittelemme sen pitämistä käytössä ja työskentelyä ohjainjulkaisijoiden kanssa WHCP-allekirjoitettujen ohjainten hankkimiseksi.
Windowsin ohjainkäytäntö on allekirjoitettu koodin eheyskäytäntö, joka on tallennettu EFI-järjestelmäosioon ja suojattu Windowsin varhaisen käynnistyksen osilla. Ominaisuuden poistaminen käytöstä edellyttää seuraavia manuaalisia ohjeita, jotta järjestelmänvalvojana suoritettavat haittaohjelmat eivät voi peukaloida ominaisuutta:
Vaihe 1: Poista suojattu käynnistys käytöstä
-
Käynnistä tietokone uudelleen ja kirjoita UEFI-laiteohjelmiston asetusvalikko (BIOS). Voit yleensä tehdä tämän painamalla näppäintä käynnistyksen aikana (kuten F2 , F10 , Del tai Esc – tarkista laitteen valmistajan ohjeet)
-
Vaihtoehtoisesti voit siirtyä Windowsissa kohtaan Asetukset > Järjestelmä > Palautus > Käynnistyksen lisäasetukset > Käynnistä uudelleen nyt . Valitse sitten Vianmääritys > Lisäasetukset > UEFI-laiteohjelmistoasetukset > Käynnistä uudelleen .
-
-
Etsi laiteohjelmiston asetuksista Suojattu käynnistys -vaihtoehto (yleensä Suojaus - tai Käynnistys-välilehdessä ).
-
Määritä suojatun käynnistyksen asetukseksi Ei käytössä .
-
Tallenna muutokset ja sulje laiteohjelmiston asetukset.
Vaihe 2: Poista käytäntötiedostot EFI-järjestelmäosiosta
1. Avaa PowerShell järjestelmänvalvojana .
2. Ota EFI-järjestelmäosio käyttöön suorittamalla:
mountvol S: /s
Voit käyttää mitä tahansa käytettävissä olevaa asemakirjainta S:-kirjaimen sijasta.
3. Poista valvontakäytäntötiedosto:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
4. Jos myös täytäntöönpanokäytäntö on käytössä, poista se:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
5. Tarkista myös käytännöt Ja poista ne Windowsin järjestelmähakemistosta:
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
6. Poista EFI-osio käytöstä:
mountvol S: /d
Vaihe 3: Käynnistä tietokone uudelleen
Käynnistä laite uudelleen, jotta muutokset astuvat voimaan. Uudelleenkäynnistyksen jälkeen käytäntö ei ole enää aktiivinen, ja kaikki allekirjoitetut ohjaimet – myös ne, joilla ei ole WHCP-sertifiointia – saavat ladata.
Vaihe 4: Ota suojattu käynnistys uudelleen käyttöön
Kun olet poistanut käytäntötiedostot, ota suojattu käynnistys uudelleen käyttöön UEFI-laiteohjelmistoasetuksissa muiden suojatun käynnistyksen suojauksen ylläpitämiseksi.
Toiminto käynnistyy arviointitilassa , jossa se kirjaa, mutta ei estä määrittämättömiä ohjaimia. Kun järjestelmä täyttää arviointiehdot (riittävä käyttöaika ja käynnistyy uudelleen ilman käytäntörikkomuksia), käytäntö siirtyy automaattisesti pakotustilaan ja ohjaimet, joita ei ole WHCP-allekirjoitettu, estetään. Tämä voi aiheuttaa sen, että aiemmin toimineet ohjaimet lopettavat lataamisen.
Tällä hetkellä yksittäisten ohjainten käytäntöä ei voi ohittaa. Voit joko poistaa ominaisuuden kokonaan käytöstä (katso yllä) tai – mieluiten – ottaa yhteyttä ohjaimen julkaisijaan ja pyytää häntä antamaan whcp-allekirjoitetun version ohjaimestaan.
Tämä toiminto koskee vain ydintilan ohjaimia . Tämä käytäntö ei vaikuta käyttäjätilan sovelluksiin.
Voit tarkistaa asian suorittamalla seuraavat komennot Järjestelmänvalvojana PowerShellissä:
$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }
$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }
if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }
elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }
else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }
Kyllä – Windows Server 2025 ja uudemmat palvelinympäristöt. Windows Server käynnistysistuntovaatimus on kuitenkin kaksi uudelleenkäynnistystä (verrattuna 3:een asiakasversioissa). Kaikki muut ehdot ovat samat.
Jos palautat Windowsin oletusasetukset tai asennat sen uudelleen, toiminto käynnistyy uudelleen arviointitilassa. Arviointilaskurit palautetaan ja siirtyminen täytäntöönpanoon alkaa alusta.
Tarvitsetko lisätietoja?
Jos sinulla on edelleen ongelmia estyneen ohjaimen kanssa, käy Microsoft Community -keskustelupalstoilla tai ota yhteyttä Microsoft-tukeen .
Otamme mielellämme vastaan palautetta tästä ominaisuudesta. Käyttökokemuksen jakaminen:
-
Avaa Windowsissa Palautekeskus (paina Win + F ).
2. Valitse vaiheessa 2 – Valitse luokka , valitse Suojaus ja tietosuoja > sovellusohjausobjekti .
