Windows ドライバー ポリシー

このポリシーによってドライバーがブロックされている場合は、次の情報が表示されることがあります。

• ハードウェア デバイスが正しく機能していません。

• 周辺機器またはコンポーネント (プリンター、ネットワーク アダプター、GPU など) が認識されません。

• カーネル ドライバーに依存するアプリケーションの起動に失敗します。

Windows ドライバー ポリシーが責任を負うかどうかを確認するには、次の 2 つの方法を使用してコード整合性イベント ログを確認します。

コード整合性イベントを手動で照会する    

1. [スタート] ボタンを右クリックし、[イベント ビューアー ] を選択します。

2. 左側のウィンドウで、[ アプリケーションとサービス ログ ] > [Microsoft > Windows > CodeIntegrity > Operational] に移動します

3. 次の ID を持つイベントを探すか、ログをフィルター処理します。

• イベント ID 3076 - ドライバーが 監査されました (ポリシーが監査モードであるため、ブロックされましたが、許可されました)。

• イベント ID 3077 — 適用ポリシーに違反したため、ドライバーの読み込みが ブロック されました。

イベントの詳細で、[ ポリシー ID ] フィールドを探します。 この機能によって発生するイベントは、次のいずれかのポリシー GUID を参照します。

• 監査ポリシー : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}

• ポリシーの適用 : {8F9CB695-5D48-48D6-A329-7202B44607E3}

PowerShell を使用してコード整合性イベントを照会する

PowerShell を使用すると、この機能に関連するイベントをすばやく見つけることができます。

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

イベントの詳細には、監査またはブロックされたドライバーの名前と、ドライバーを読み込もうとしたプロセスの名前が含まれます。これは、影響を受けるドライバーまたはデバイスを特定するのに役立ちます。

デバイス ユーザーまたは IT 管理者の場合

1. 上記の手順を使用してイベント ログを確認し、ブロックされているドライバーを特定します。

2. 更新されたドライバーのWindows Updateを確認します。 WHCP 認定の署名済みドライバーは、Windows Updateを通じて既に利用できます。 [設定] > [Windows Update > の詳細設定 ] > [オプションの更新] > [ドライバーの更新プログラム] に移動して、使用可能なドライバー更新プログラムをチェックします。

3. 製造元の Web サイトにアクセス します。 ベンダーの公式サポート ページから最新のドライバー バージョンをダウンロードします。新しいバージョンは WHCP 署名されている可能性が高くなります。

4. ドライバーを公開する ハードウェアまたはソフトウェア ベンダーに問い合わせてください 。 WHCP 認定バージョンのドライバーが使用可能かどうか、およびアクセスする場所を確認します。 ほとんどのベンダーは、既に WHCP がドライバーを認定しています。

ドライバー発行元の場合

Windows 用のカーネル モード ドライバーを開発して配布する場合は、ドライバーが WHCP プロセスを通じて署名されていることを確認する必要があります。

1. Windows ハードウェア デベロッパー センター に参加します 。 有効な EV (拡張検証) コード署名証明書を 使用して Windows ハードウェア デベロッパー センター に登録します。

2. 申請 を作成します 。 ハードウェア ダッシュボードで、新しい製品を作成し、認定のためにドライバー パッケージを送信します。

3. HLK テストを実行します 。 Windows ハードウェア ラボ キット (HLK) を使用して、ドライバーの種類とデバイス カテゴリに必要なテストを実行します。

4. 署名のために送信 します。 テストに合格したら、HLK の結果をドライバー パッケージと共に送信します。 MICROSOFT は WHCP 証明書を使用してドライバーに署名します。

5. 署名されたドライバーを配布します 。 署名したら、Windows Updateや Web サイトを通じて WHCP 認定ドライバーを発行します。

Windows ドライバー ポリシーは、EFI システム パーティションに格納され、Windows の初期ブート コンポーネントによって保護される署名付きコード整合性ポリシーです。 この機能をオフにする場合は、管理者として実行されている悪意のあるソフトウェアが機能を改ざんできないように、次の手動手順が必要です。

手順 1: セキュア ブートを無効にする

1. コンピューターを再起動し、 UEFI ファームウェア設定メニュー (BIOS) を入力します。 通常、これを行うには、起動時にキーを押します (デバイスの製造元のドキュメントチェック F2 、 F10 、 Del 、Esc など)

   1. または、Windows で[ 設定] > [ システム > 回復 ] > [詳細設定] > [ 今すぐ再起動] に移動します。 次に、[トラブルシューティング ] > [UEFI ファームウェア設定 ] > [再起動] > [詳細設定 ] を選択します 。

2. ファームウェアの設定で、[ セキュア ブート ] オプション (通常は [ セキュリティ ] タブまたは [ ブート ] タブ) を見つけます。

3. [セキュア ブート] を [無効] に設定します。

4. 変更を保存し、ファームウェア設定を終了します。

手順 2: EFI システム パーティションからポリシー ファイルを削除する

1. 管理者として PowerShell を 開きます。

2. 次を実行して EFI システム パーティションをマウントします。

mountvol S: /s

'S:' の代わりに、使用可能な任意のドライブ文字を使用できます。

3. 監査ポリシー ファイルを削除します。

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

4. 適用ポリシーも存在する場合は、削除します。

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

5. また、Windows システム ディレクトリのポリシーをチェックして削除します。

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6. EFI パーティションのマウントを解除します。

mountvol S: /d

手順 3: コンピューターを再起動する

デバイスを再起動して変更を有効にします。 再起動後、ポリシーはアクティブではなくなり、WHCP 認定を持たないドライバーを含むすべての署名済みドライバーの読み込みが許可されます。

手順 4: セキュア ブートを再度有効にする

ポリシー ファイルを削除した後、UEFI ファームウェア設定でセキュア ブートを再度有効にして、他のセキュア ブート保護を維持します。

この機能は 評価モード で開始され、ログは記録されますが、認定されていないドライバーはブロックされません。 システムが評価基準 (十分なアップタイムとポリシー違反のない再起動) を満たすと、ポリシーは自動的に 適用モード に移行し、WHCP 署名されていないドライバーはブロックされます。 これにより、以前に動作していたドライバーの読み込みが停止する可能性があります。

現在、個々のドライバーのポリシーをバイパスする方法はありません。 機能を完全に無効にすることも (上記を参照)、できればドライバーの発行元に問い合わせて、WHCP で署名されたバージョンのドライバーを提供するように依頼することもできます。

この機能は 、カーネル モード ドライバーにのみ 適用されます。 ユーザー モード アプリケーションは、このポリシーの影響を受けません。

PowerShell で管理者として次のコマンドを実行して、チェックできます。

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

はい - Windows Server 2025 以降のサーバー プラットフォーム。 ただし、Windows Serverでは、ブート セッションの要件は 2 回の再起動 です (クライアント エディションでは 3 回に比べて)。 その他の条件はすべて同じです。

Windows をリセットまたは再インストールすると、この機能は評価モードで新たに開始されます。 評価カウンターがリセットされ、適用への移行が最初から再度開始されます。