A Windows illesztőprogram-szabályzata

Ha a szabályzat letilt egy illesztőprogramot, a következőt tapasztalhatja:

• Egy hardvereszköz nem működik megfelelően.

• A rendszer nem ismer fel perifériát vagy összetevőt (nyomtatót, hálózati adaptert, GPU-t stb.).

• Egy kernelillesztőtől függő alkalmazás nem indul el.

Az alábbi két módszerrel ellenőrizheti, hogy a Windows illesztőprogram-szabályzata felelős-e a kódintegritási eseménynaplókban.

Kódintegritási események manuális lekérdezése    

1. Kattintson a jobb gombbal a Start gombra, és válassza a eseménymegtekintő lehetőséget.

2. A bal oldali panelen lépjen a következőre: Alkalmazások és szolgáltatások naplói > Microsoft > Windows > CodeIntegrity > Operational

3. Keresse meg vagy szűrje a naplót az alábbi azonosítókkal rendelkező eseményekre:

• 3076-os eseményazonosító – Egy illesztőprogram naplózása megtörtént (blokkolva lett volna, de engedélyezve lett volna, mert a szabályzat naplózási módban van).

• 3077-ös eseményazonosító – Egy illesztőprogram betöltése blokkolva lett, mert megsértette a kényszerítési szabályzatot.

Az esemény részletei között keresse meg a Szabályzatazonosító mezőt. A szolgáltatás által okozott események a következő szabályzat GUID-azonosítók egyikére hivatkoznak:

• Naplózási házirend : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}

• Házirend kényszerítése : {8F9CB695-5D48-48D6-A329-7202B44607E3}

Kódintegritási események lekérdezése a PowerShell-lel

A PowerShell használatával gyorsan megtalálhatja a funkcióhoz kapcsolódó eseményeket:

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

Az esemény részletei között szerepelni fog a naplózott vagy letiltott illesztőprogram neve, valamint annak a folyamatnak a neve, amely megpróbálta betölteni az illesztőprogramot, így könnyebben azonosítható, hogy melyik illesztőprogram vagy eszköz érintett.

Ha Ön az eszköz felhasználója vagy rendszergazdája

1. Ellenőrizze az eseménynaplókat a fenti lépésekkel annak azonosításához, hogy melyik illesztőprogram van letiltva.

2. Ellenőrizze, hogy Windows Update-e frissített illesztőprogramokat. Előfordulhat, hogy a WHCP-tanúsítvánnyal rendelkező, aláírt illesztőprogramok már elérhetők Windows Update keresztül. Lépjen a Beállítások > Windows Update > Speciális beállítások > Választható frissítések > Illesztőprogram-frissítések lehetőséget az elérhető illesztőprogram-frissítések kereséséhez.

3. Látogasson el a gyártó webhelyére . Töltse le a legújabb illesztőprogram-verziót a gyártó hivatalos támogatási oldaláról – az újabb verziók valószínűleg WHCP-aláírással vannak ellátva.

4. Lépjen kapcsolatba az illesztőprogramot közzétevő hardver- vagy szoftverszállítóval . Kérdezze meg őket, hogy elérhető-e az illesztőprogram WHCP-tanúsítvánnyal rendelkező verziója, és hol érhető el. A legtöbb szállító már a WHCP-nek minősíti a járművezetőit.

Ha Ön illesztőprogram-közzétevő

Ha kernelmódú illesztőprogramokat fejleszt és oszt ki a Windowshoz, győződjön meg arról, hogy az illesztőprogramok a WHCP-folyamaton keresztül vannak aláírva:

1. Csatlakozzon a Windows Hardver fejlesztői központhoz . Regisztráljon a Windows Hardware Dev Centerben érvényes EV (kiterjesztett érvényesítési) kódaláíró tanúsítvánnyal.

2. Hozzon létre egy beküldést . A Hardver irányítópulton hozzon létre egy új terméket, és küldje el az illesztőprogram-csomagot minősítésre.

3. Futtassa a HLK-teszteket . A Windows Hardware Lab Kit (HLK) használatával futtassa az illesztőprogram típusához és az eszközkategóriához szükséges teszteket.

4. Küldje el a következőt aláírásra : . A tesztek sikeres elvégzése után küldje el a HLK-eredményeket az illesztőprogram-csomaggal együtt. A Microsoft a WHCP-tanúsítvánnyal írja alá az illesztőprogramot.

5. Ossza el az aláírt illesztőprogramot . Az aláírást követően tegye közzé a WHCP-tanúsítvánnyal rendelkező illesztőprogramot Windows Update és/vagy a webhelyén.

A Windows illesztőprogram-házirendje egy aláírt kódintegritási szabályzat, amelyet az EFI rendszerpartíció tárol, és amelyet a Windows korai rendszerindítási összetevői védenek. A funkció kikapcsolásához a következő manuális lépések szükségesek, hogy a rendszergazdaként futó rosszindulatú szoftverek ne módosíthassák a funkciót:

1. lépés: A biztonságos rendszerindítás letiltása

1. Indítsa újra a számítógépet, és adja meg az UEFI belső vezérlőprogram beállításai menüt (BIOS). Ezt általában úgy teheti meg, hogy a rendszerindítás során lenyom egy billentyűt (például F2 , F10 , Del vagy Esc – ellenőrizze az eszköz gyártójának dokumentációját)

   1. Másik lehetőségként a Windowsban nyissa meg a Beállítások > Rendszer -> Recovery > Speciális indítás > Újraindítás most lehetőséget. Ezután válassza > Speciális beállítások hibaelhárítása > UEFI belső vezérlőprogram beállításainak > újraindítása lehetőséget.

2. A belső vezérlőprogram beállításai között keresse meg a Biztonságos rendszerindítás lehetőséget (általában a Biztonság vagy a Rendszerindítás lapon).

3. Állítsa a Biztonságos rendszerindítás beállítást Letiltva értékre.

4. Mentse a módosításokat, és lépjen ki a belső vezérlőprogram beállításaiból.

2. lépés: A házirendfájlok törlése az EFI-rendszerpartícióból

1. Nyissa meg a PowerShellt rendszergazdaként .

2. Csatlakoztassa az EFI-rendszerpartíciót a következő futtatásával:

mountvol S: /s

Az "S:" helyett bármilyen elérhető meghajtóbetűjelet használhat.

3. Törölje a naplózási szabályzatfájlt:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

4. Ha a kényszerítési szabályzat is létezik, törölje:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

5. Ellenőrizze és törölje a szabályzatokat a Windows rendszerkönyvtárából:

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6. Válassza le az EFI-partíciót:

mountvol S: /d

3. lépés: A számítógép újraindítása

A módosítások életbe léptetéséhez indítsa újra az eszközt. Az újraindítás után a szabályzat már nem lesz aktív, és minden aláírt illesztőprogram – beleértve a WHCP-minősítéssel nem rendelkezőket is – be lesz töltve.

4. lépés: Biztonságos rendszerindítás újbóli engedélyezése

A házirendfájlok eltávolítása után engedélyezze újra a Biztonságos rendszerindítást az UEFI belső vezérlőprogram beállításaiban a többi biztonságos rendszerindítási védelem fenntartása érdekében.

A szolgáltatás próbaverziós módban indul, ahol naplózza, de nem blokkolja a nem hitelesített illesztőprogramokat. Miután a rendszer megfelel a kiértékelési feltételeknek (elegendő üzemidő és újraindítás szabályzatsértés nélkül), a szabályzat automatikusan kényszerítési módra vált, és a nem WHCP-aláírású illesztőprogramok le lesznek tiltva. Ez azt okozhatja, hogy a korábban működő illesztőprogramok nem töltődnek be.

Jelenleg nincs mód az egyes illesztőprogramok szabályzatának megkerülésére. A funkciót teljes egészében letilthatja (lásd fent), vagy – lehetőleg – kapcsolatba léphet az illesztőprogram-közzétevővel, és megkérheti, hogy adja meg az illesztőprogram WHCP-aláírással ellátott verzióját.

Ez a funkció csak a kernelmódú illesztőprogramokra vonatkozik. Ez a szabályzat nem érinti a felhasználói módú alkalmazásokat.

Az ellenőrzéshez futtassa a következő parancsokat rendszergazdaként a PowerShellben:

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

Igen – Windows Server 2025-ös és újabb kiszolgálóplatformok. A Windows Server esetében azonban a rendszerindítási munkamenetre vonatkozó követelmény 2 újraindítás (szemben az ügyfélkiadások 3-ával). Minden más feltétel ugyanaz.

Ha alaphelyzetbe állítja vagy újratelepíti a Windowst, a funkció próbaverziós módban újra fog indulni. A kiértékelési számlálók alaphelyzetbe lesznek állítva, és a végrehajtásra való áttérés a kezdetektől újrakezdődik.