מדיניות מנהלי ההתקנים של Windows

אם מנהל התקן נחסם על-ידי מדיניות זו, ייתכן שתראה:

• התקן חומרה אינו פועל כראוי.

• ציוד היקפי או רכיב (מדפסת, מתאם רשת, GPU וכדומה) אינו מזוהה.

• הפעלת יישום התבסס על מנהל התקן ליבה נכשלת.

באפשרותך לבדוק אם מדיניות מנהל ההתקן של Windows אחראית על-ידי בדיקת יומני האירועים תקינות קוד באמצעות שתי השיטות הבאות.

אירועי תקינות קוד שאילתה באופן ידני    

1. לחץ באמצעות לחצן העכבר הימני על לחצן התחל ובחר מציג האירועים .

2. בחלונית הימנית, נווט אל: יומני רישום של יישומים ושירותים > Microsoft > Windows > CodeIntegrity > תפעול

3. חפש או סנן את יומן הרישום עבור אירועים עם זהים אלה:

• מזהה אירוע 3076 — מנהל התקן עבר ביקורת (היה חסום אך הותר מאחר שהמדיניות נמצאת במצב ביקורת).

• מזהה אירוע 3077 — טעינת מנהל התקן נחסמה מאחר שהוא הפר את מדיניות האכיפה.

בפרטי האירוע, חפש את השדה מזהה מדיניות. אירועים שנגרמו על-ידי תכונה זו יפנה לאחד מזהי ה- GUID הבאים של המדיניות:

• מדיניות ביקורת : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}

• מדיניות אכיפת : {8F9CB695-5D48-48D6-A329-7202B44607E3}

אירועי תקינות קוד שאילתה עם PowerShell

באפשרותך להשתמש ב- PowerShell כדי למצוא במהירות אירועים הקשורים לתכונה זו:

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

פרטי האירוע יכללו את שם מנהל ההתקן שנוקב או נחסם ואת שם התהליך שניסה לטעון את מנהל ההתקן, שיכול לעזור לך לזהות איזה מנהל התקן או מכשיר מושפע.

אם אתה משתמש המכשיר או מנהל ה- IT

1. עיין ביומני האירועים באמצעות השלבים שלעיל כדי לזהות איזה מנהל התקן חסום.

2. בדוק Windows Update מנהלי התקנים מעודכנים. ייתכן שמנהלי התקנים חתומים עם אישור WHCP כבר זמינים דרך Windows Update. עבור אל הגדרות > Windows Update > מתקדמות > עדכונים אופציונליים > מנהל התקן כדי לבדוק אם קיימים עדכונים זמינים של מנהלי התקנים.

3. בקר באתר האינטרנט של היצרן . הורד את הגירסה העדכנית ביותר של מנהל ההתקן מתוך דף התמיכה הרשמי של הספק - יש יותר להניח שגרסאות חדשות יותר יהיו חתומות באמצעות WHCP.

4. פנה לספק החומרה או התוכנה שתפרסם את מנהל ההתקן. שאל אותם אם גירסה מאושרת WHCP של מנהל ההתקן זמינה והיכן לגשת אליה. רוב הספקים כבר מאשרים את מניעי הפעילויות שלהם.

אם אתה מפרסם של מנהל התקן

אם אתה מפתח ומפיץ מנהלי התקנים של מצב ליבה עבור Windows, עליך לוודא שמנהלי ההתקנים שלך חתומים באמצעות תהליך WHCP:

1. הצטרף למרכז הפיתוח של החומרה של Windows . הירשם במרכז הפיתוח של החומרה של Windows באמצעות אישור חוקי של חתימת קוד EV (אימות מורחב).

2. צור הגשה . בלוח המחוונים של החומרה, צור מוצר חדש ושלח את חבילת מנהל ההתקן שלך לאישור.

3. הפעל את בדיקות HLK . השתמש ב - Windows Hardware Lab Kit (HLK) כדי להפעיל את הבדיקות הנדרשות עבור סוג מנהל ההתקן והקטגוריה של המכשיר שלך.

4. שלח לחתימה . לאחר ביצוע הבדיקות, שלח את תוצאות ה- HLK יחד עם חבילת מנהל ההתקן. Microsoft תחתום על מנהל ההתקן באמצעות אישור WHCP.

5. הפץ את מנהל ההתקן החתום . לאחר ההתחברות, פרסם את מנהל ההתקן המאושר על-ידי WHCP באמצעות Windows Update ו/או באמצעות אתר האינטרנט שלך.

מדיניות מנהל ההתקן של Windows היא מדיניות שלמות קוד חתומה המאוחסנת במחיצת המערכת של EFI ומוגנת על-ידי רכיבי אתחול מוקדם של Windows. ביטול התכונה דורש את השלבים הידניים הבאים, כך שתוכנות זדוניות הפועלות כמנהל מערכת לא יכולות לטפל שלא כדין בתכונה:

שלב 1: הפיכת אתחול מאובטח ללא זמין

1. הפעל מחדש את המחשב והזן את תפריט הגדרות הקושחה (BIOS) של UEFI. בדרך כלל ניתן לעשות זאת על-ידי הקשה על מקש במהלך האתחול (כגון F2 , F10 , Del או Esc — עיין בתיעוד של יצרן ההתקן)

   1. לחלופין, ב- Windows: עבור אל הגדרות > מערכת > שחזור > מתקדם > מחדש כעת . לאחר מכן בחר פתרון > אפשרויות מתקדמות > הגדרות קושחה UEFI > מחדש .

2. בהגדרות הקושחה, אתר את האפשרות אתחול מאובטח (בדרך כלל, תחת הכרטיסיה אבטחה או אתחול).

3. הגדר אתחול מאובטח כלא זמין .

4. שמור שינויים ויציאה מהגדרות הקושחה.

שלב 2: מחיקת קבצי המדיניות ממחיצת המערכת של EFI

1. פתח את PowerShell כמנהל מערכת .

2. לטעון את מחיצת המערכת של EFI על-ידי הפעלת:

mountvol S: /s

באפשרותך להשתמש בכל אות כונן זמינה במקום 'S:'.

3. מחק את קובץ מדיניות הביקורת:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

4. אם מדיניות האכיפה קיימת גם היא, מחק אותה:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

5. חפש ומחק את פריטי המדיניות גם מספריה של מערכת Windows:

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6. בטל את טעינת מחיצת ה- EFI:

mountvol S: /d

שלב 3: הפעל מחדש את המחשב

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. לאחר ההפעלה מחדש, המדיניות לא תהיה פעילה עוד וכל מנהלי ההתקנים החתמו - כולל אלה ללא אישור WHCP - יורשו להיטען.

שלב 4: הפעל מחדש אתחול מאובטח

לאחר הסרת קבצי המדיניות, הפעל מחדש אתחול מאובטח בהגדרות הקושחה של UEFI כדי לשמור על הגנות אתחול מאובטח אחרות.

התכונה מתחילה במצב הערכה , שבו היא מבצעת רישום אך אינה חוסמת מנהלי התקנים לא מוגדרים. לאחר שהמערכת שלך עומדת בקריטריוני ההערכה (מספיק זמן פעולה ואתחול מחדש ללא הפרות מדיניות), המדיניות תעבר באופן אוטומטי למצב אכיפה , ומנהלי התקנים שאינם חתומים באמצעות WHCP ייחסמו. הדבר עלול לגרום למנהלי התקנים פועלים בעבר להפסיק את הטעינה.

בשלב זה אין דרך לעקוף את המדיניות עבור מנהלי התקנים בודדים. באפשרותך להפוך את התכונה ללא זמינה לחלוטין (ראה לעיל) או – עדיף — לפנות אל מפרסם מנהל ההתקן ובקש ממנו לספק גירסה החתימה על-ידי WHCP של מנהל ההתקן שלו.

תכונה זו חלה על מנהלי התקנים של מצב ליבה בלבד . אפליקציות במצב משתמש אינן מושפעות ממדיניות זו.

באפשרותך לבדוק זאת על-ידי הפעלת הפקודות הבאות כמנהל מערכת ב- PowerShell:

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

כן - Windows Server 2025 ופלטפורמות שרת חדשות יותר. עם זאת, Windows Server, דרישת הפעלת האתחול היא 2 אתחולים מחדש (בהשוואה ל- 3 בהדורות לקוח). כל שאר הקריטריונים זהים.

אם תאפס או תתקין מחדש את Windows, התכונה תתחיל לפעול מחדש במצב הערכה. מוני ההערכה יאופסו והמעבר לאכיפת יתחיל שוב מההתחלה.