A Windows tartalmaz egy rendszermag kódintegritás nevű biztonsági szolgáltatást, amely segít megvédeni a rendszert azáltal, hogy biztosítja, hogy a rendszermag betöltött illesztőprogramjai integritálisan fussanak, és a Microsoft által megbízható hatóság kriptográfiai aláírással lássák el őket.
Ha ezt az üzenetet látja, az azt jelenti, hogy az illesztőprogram vagy rendszermag módú szoftver nincs megfelelően aláírva, vagy nem felel meg a Windows rendszermag kódintegritásra vonatkozó aláírási követelményeinek.
A Windows megköveteli, hogy minden új illesztőprogramot a Windows hardverkompatibilitási programon (WHCP) keresztül küldjön el és írjon alá. A Windows korábban megbízható illesztőprogramok, amelyeket a most lejárt kétszeresen hitelesített program írt alá. A 2026. áprilisi biztonsági frissítéssel azonban ezek az illesztőprogramok alapértelmezés szerint már nem megbízhatók. A bejelentés itt érhető el: https://go.microsoft.com/fwlink/?linkid=2356646.
Mi a Windows illesztőprogram-házirendje?
A Windows Driver házirend a Windows-kernel egy olyan házirendje, amely korlátozza, hogy mely kernelmódú illesztőprogramok tölthetők be az eszközén. Ha aktív, csak a következő illesztőprogramok tölthetők be:
- Az illesztőprogramok megfelelően vannak aláírva a Microsoft WHCP-minősítési folyamatán keresztül
- A Windows illesztőprogram-házirendjében szereplő illesztőprogramok engedélyezési listája, amelyen a kétszeresen hitelesített program aláírta a megbízható illesztőprogramokat
Azok az illesztőprogramok, amelyek nincsenek Microsoft WHCP-aláírással, vagy amelyek szerepelnek a Windows illesztőprogram-házirendjében, le lesznek tiltva a hatókörben, az engedélyezett rendszereken.
Ez a funkció segít megvédeni Önt a potenciálisan nem biztonságos vagy nem tesztelt illesztőprogramoktól, csökkentve ezzel a kártevők, a rendszer instabilitásának és a nem ellenőrzött illesztőprogramok és illesztőprogram-közzétevők által okozott biztonsági rések kockázatát.
Hogyan működik ez a funkció?
A Windows illesztőprogram-házirend kétfázisú megközelítést használ, például az Intelligens alkalmazáskezelést az eszköz védelmének fokozatos növelése érdekében:
Kiértékelési mód (Naplózás)
Első aktiválásakor a szolgáltatás kiértékelési módban indul el. Ebben a fázisban:
- Azokat az illesztőprogramokat, amelyeket letiltana a házirend , ellenőrizzük, de továbbra is betölthetők . Ez biztosítja, hogy az eszköz továbbra is megfelelően működjön, míg a Windows megállapítja, hogy a kényszerítés megfelelő-e a rendszeréhez.
- A Windows nyomon követi, hogy a rendszer hány illesztőprogramját érintené ez a házirend.
- Ha a rendszer a kiértékelés során olyan illesztőprogramot észlel, amely megsértené a házirendet, a kiértékelési folyamat alaphelyzetbe áll . Ez azt jelenti, hogy a kényszerítés visszaszámlálása elölről kezdődik, így a Windows több időt kap a rendszer illesztőprogram-használatának megfigyelésére.
Értékelési kritériumok
A Windows a következő kritériumok alapján állapítja meg, hogy az eszköz készen áll-e a végrehajtásra:
- Rendszer üzemideje: Az eszköznek 100 órányi aktív használatot kell használnia.
- Rendszerindítási munkamenetek : Az eszközt legalább 3 alkalommal kellett újraindítani (Windows Server esetén 2 alkalommal) a kiértékelés kezdete óta.
- Nincs házirendsértés: Ha egy letiltott illesztőprogram töltődik be a kiértékelési időszak alatt, a hasznos üzemidő és a rendszerindítási munkamenet számlálói nullára állnak vissza, meghosszabbítva a kiértékelési időszakot.
Ha az eszköz folyamatosan betölti azokat az illesztőprogramokat, amelyek megfelelnek a házirendnek, és megfelelnek ezeknek a feltételeknek, akkor a rendszer megfelelő jelöltnek tekinthető a kényszerítés szempontjából.
Kényszerítési mód
Ha teljesülnek a kiértékelési feltételek, a Windows automatikusan kényszerítési módba vált. Ebben a fázisban:
- Az eszközök védettek az olyan illesztőprogramok ellen, amelyek nem felelnek meg a Windows illesztőprogram-házirendjének aláírási követelményeinek.
- A rendszer letiltja ezeknek az illesztőprogramoknak a betöltését és a diagnosztikai adatok generálását a Microsoft számára, valamint a bejegyzéseket a Windows eseménynaplójában, amelyeket Ön áttekinthet.
- A szabályzat tartalmazza az adott illesztőprogramok és közzétevők engedélyezési listáját, hogy lehetővé tegye bizonyos, széles körben használt, WHCP-tanúsítvánnyal még nem rendelkező korábbi illesztőprogramok további működését.
Ha a kényszerítési mód aktív, a házirend érvényben marad az újraindítások során.
Gyakori kérdések
Hogyan tudhatom, hogy egy illesztőprogram le van tiltva?
Ha egy illesztőprogramot blokkol ez a házirend, a következők jelenhetnek meg:
- Egy hardvereszköz nem működik megfelelően.
- A rendszer nem ismeri fel a perifériát vagy összetevőt (nyomtatót, hálózati adaptert, GPU-t stb.).
- A kernel-illesztőprogramtól függő alkalmazás nem indul el.
A kódintegritási eseménynaplók ellenőrzésével az alábbi két módszerrel ellenőrizheti, hogy a Windows-illesztőprogram házirendje okozza-e a felelőst.
Kódintegritási események manuális lekérdezése
- Kattintson a jobb gombbal a Start gombra, és válassza az Eseménymegtekintő lehetőséget.
- A bal oldali ablaktáblában lépjen ide: Alkalmazás- és szolgáltatásnaplók>Microsoft>Windows>CodeIntegrity>Operational
- Keressen vagy szűrjön a naplóban az alábbi azonosítókkal rendelkező események kereséséhez:
- Eseményazonosító: 3076 – Egy illesztőprogram auditálásra került (le lett tiltva, de engedélyezve volt, mert a házirend naplózási módban van).
- 3077-es azonosítójú esemény – Egy illesztőprogram betöltését blokkolták , mert megsértette a végrehajtási házirendet.
Az esemény részleteinél keresse meg a Házirendazonosító mezőt. A funkció által okozott események a következő házirend GUID azonosítók egyikére hivatkoznak:
- Könyvvizsgálati politika : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}
- Érvénybe kényszerítési házirend: {8F9CB695-5D48-48D6-A329-7202B44607E3}
Kódintegritási események lekérdezése a PowerShell-lel
A PowerShell segítségével gyorsan megtalálhatja a szolgáltatással kapcsolatos eseményeket:
# Find audit events (Event ID 3076) from the Windows Driver audit policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
# Find block events (Event ID 3077) from the Windows Driver enforced policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
Az esemény részletei tartalmazzák a vizsgált vagy letiltott illesztőprogram nevét, valamint az illesztőprogram betöltését megkísérlő folyamat nevét, amely segíthet azonosítani az érintett illesztőprogramot vagy eszközt.
Mi a teendő, ha egy illesztőprogram le van tiltva?
Ha Ön az eszköz felhasználója vagy informatikai rendszergazda
A fenti lépéseket követve ellenőrizze az eseménynaplókat, hogy melyik illesztőprogram van letiltva.
Frissített illesztőprogramokat kereshet a Windows Update webhelyen. Előfordulhat, hogy a WHCP-tanúsítvánnyal rendelkező, aláírt illesztőprogramok már elérhetők a Windows Update-en keresztül. Nyissa meg a BeállításokWindows>UpdateSpeciális>beállítások>Választható frissítések>Illesztőprogram-frissítések elemet az elérhető illesztőprogram-frissítések kereséséhez.
Látogasson el a gyártó webhelyére . Töltse le a legújabb illesztőprogram-verziót a gyártó hivatalos támogatási oldaláról – az újabb verziók nagyobb valószínűséggel rendelkeznek WHCP-aláírással.
Lépjen kapcsolatba az illesztőprogramot közzétevő hardver- vagy szoftvergyártóval. Kérdezze meg, hogy elérhető-e az illesztőprogram WHCP-tanúsítvánnyal rendelkező verziója, és hol lehet azt elérni. A legtöbb szállító már rendelkezik WHCP-tanúsítvánnyal.
Ha Ön illesztőprogram-kiadó
Ha kernelmódú illesztőprogramokat fejleszt és terjeszt a Windowshoz, gondoskodnia kell arról, hogy az illesztőprogramok alá legyenek írva a WHCP-folyamaton keresztül:
- Csatlakozzon a Windows Hardver fejlesztői központhoz . Regisztráljon a Windows Hardware fejlesztői központban érvényes EV (kiterjesztett érvényesítési) kódaláíró tanúsítvánnyal.
- Beküldés létrehozása . A Hardver irányítópulton hozzon létre egy új terméket, és küldje be az illesztőprogram-csomagot minősítésre.
- Futtassa a HLK-teszteket . A Windows Hardware Lab Kit (HLK) használatával futtassa az illesztőprogram típusához és eszközkategóriájához szükséges teszteket.
- Beküldés aláírásra . Miután a tesztek sikeresek, küldje el a HLK-eredményeket az illesztőprogram-csomaggal együtt. A Microsoft aláírja az illesztőprogramot a WHCP-tanúsítvánnyal.
- Az aláírt illesztőprogram megosztása . Aláírás után tegye közzé a WHCP-tanúsítvánnyal rendelkező illesztőprogramot a Windows Update-en és/vagy a webhelyén.
Fontos
A kizárólag WHCP-tanúsítvány nélküli kereszttanúsítvány használatával aláírt illesztőprogramok le lesznek tiltva azokon a rendszereken, amelyeken kényszerítési módban van a Windows illesztőprogram-házirendje.
Hogyan kapcsolhatom ki a Windows illesztőprogram-házirendjét?
Figyelmeztetés
A funkció letiltása csökkenti az eszköz biztonságát. Javasoljuk, hogy hagyja engedélyezve, és ehelyett az illesztőprogram-kiadókkal együttműködve szerezze be a WHCP-aláírással ellátott illesztőprogramokat.
A Windows-illesztőprogram házirendje egy aláírt kódintegritási házirend, amelyet az EFI rendszerpartíción tárol, és a Windows korai rendszerindítási összetevői védenek. A funkció kikapcsolásához a következő manuális lépésekre van szükség, hogy a rendszergazdaként futó kártékony szoftverek ne módosíthassák a funkciót:
1. lépés: A biztonságos rendszerindítás letiltása
Indítsa újra a számítógépet, és lépjen be az UEFI belső vezérlőprogram-beállítások menüjébe (BIOS). Ezt általában a rendszerindítás során egy billentyű lenyomásával teheti meg (például F2 , F10 , Del vagy Esc – lásd az eszköz gyártójának dokumentációját)
- Másik lehetőségként a Windowsban: lépjen a Gépház>Rendszer-helyreállítás>>speciális indítás>Újraindítás most menüpontba. Ezután válassza a Hibaelhárítás>lehetőséget Speciális beállítások>UEFI belső vezérlőprogram beállítások>Újraindítás .
A belső vezérlőprogram beállításai között keresse meg a Biztonságos rendszerindítás lehetőséget (általában a Biztonság vagy a Rendszerindítás lapon).
Állítsa a biztonságos rendszerindítást Letiltott értékre.
Mentse a módosításokat, és lépjen ki a belső vezérlőprogram beállításaiból.
2. lépés: Törölje a házirendfájlokat az EFI-rendszerpartícióról
1. Nyissa meg a PowerShellt rendszergazdaként .
2. Csatlakoztassa az EFI rendszerpartíciót a következő futtatásával:
mountvol S: /s
Az "S:" helyett tetszőleges meghajtóbetűjelet használhat.
3. Törölje a naplóházirendfájlt:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
4. Ha a kényszerítési házirend is jelen van, törölje:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
5. Ellenőrizze és törölje a házirendeket a Windows rendszerkönyvtárából is:
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
6. Az EFI-partíció leválasztása:
mountvol S: /d
3. lépés: A számítógép újraindítása
A módosítások életbe léptetéséhez indítsa újra az eszközt. Az újraindítást követően a házirend nem lesz aktív, és az összes aláírt illesztőprogram – beleértve a WHCP-tanúsítvánnyal nem rendelkezőket is – betöltődhet.
4. lépés: Engedélyezze újra a biztonságos rendszerindítást
A házirendfájlok eltávolítása után engedélyezze újra a biztonságos rendszerindítást az UEFI belső vezérlőprogram beállításai között a többi biztonságos rendszerindítási védelem fenntartása érdekében.
Miért működött korábban az illesztőprogramom, és miért blokkolódik hirtelen?
A funkció kiértékelési módban indul el, ahol naplózza, de nem blokkolja a nem hitelesített illesztőprogramokat. Miután a rendszer megfelel a kiértékelési feltételeknek (elegendő üzemidő és újraindítások házirendsértések nélkül), a házirend automatikusan kényszerítési módba vált, és a WHCP-aláírással nem rendelkező illesztőprogramok le lesznek tiltva. Ez a korábban működő illesztőprogramok betöltésének leállását okozhatja.
Engedélyezhetek egy adott illesztőprogramot a funkció teljes letiltása nélkül?
Jelenleg nincs mód a házirend megkerülésére az egyes illesztőprogramok esetében. Letilthatja teljes egészében a szolgáltatást (lásd fent), vagy – lehetőleg – kapcsolatba léphet az illesztőprogram kiadójával, és megkérheti, hogy adja meg az illesztőprogram WHCP-aláírással ellátott verzióját.
Hatással van ez a felhasználói üzemmódú alkalmazásokra vagy csak a kernel-illesztőprogramokra?
Ez a szolgáltatás csak a kernelmódú illesztőprogramokra vonatkozik. A felhasználói üzemmódú alkalmazásokra ez a házirend nem vonatkozik.
Az eszközöm kiértékelési vagy kényszerítési módban van?
Ezt a PowerShellben a következő parancsok futtatásával ellenőrizheti:
$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }
$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }
if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }
elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }
else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }
Hatással van ez a Windows Server-re?
Igen – Windows Server 2025 és újabb kiszolgálói platformok. A Windows Server rendszerindítási munkamenetének követelménye azonban 2 újraindítás (szemben az ügyfélkiadások 3 újraindításával). Minden más feltétel ugyanaz.
Mi történik, ha alaphelyzetbe állítom vagy újratelepítem a Windowst?
Ha alaphelyzetbe állítja vagy újratelepíti a Windowst, a szolgáltatás kiértékelési módban újraindul. A kiértékelési számlálók alaphelyzetbe lesznek állítva, és az érvényesítésre való áttérés újra kezdődik az elejéről.
További segítségre van szüksége?
Ha továbbra is problémákat tapasztal egy blokkolt illesztőprogrammal kapcsolatban, látogasson el a Microsoft Community fórumaira , vagy lépjen kapcsolatba a Microsoft ügyfélszolgálatával .
Örömmel hallanánk a funkcióval kapcsolatos visszajelzését. A tapasztalatai megosztása:
- A Windowsban nyissa meg a Visszajelzési központot (nyomja le a Win + F billentyűkombinációt).
2. A 2. lépésben – Kategória kiválasztása területen válassza a Biztonsági és adatvédelmi>alkalmazásvezérlés lehetőséget.