Windows 드라이버 정책

이 정책에 의해 드라이버가 차단된 경우 다음이 표시될 수 있습니다.

• 하드웨어 디바이스가 제대로 작동하지 않습니다.

• 주변 장치 또는 구성 요소(프린터, 네트워크 어댑터, GPU 등)가 인식되지 않습니다.

• 커널 드라이버에 의존하는 애플리케이션이 시작되지 않습니다.

다음 두 가지 방법을 사용하여 코드 무결성 이벤트 로그를 확인하여 Windows 드라이버 정책이 책임지는지 확인할 수 있습니다.

수동으로 코드 무결성 이벤트 쿼리    

1. 시작 단추를 마우스 오른쪽 단추로 클릭하고 이벤트 뷰어 선택합니다.

2. 왼쪽 창에서 애플리케이션 및 서비스 로그 > Microsoft > Windows > CodeIntegrity > Operational 으로 이동합니다.

3. 다음 ID가 있는 이벤트에 대한 로그를 찾거나 필터링합니다.

• 이벤트 ID 3076 - 드라이버가 감사되었습니다 (정책이 감사 모드에 있으므로 차단되었지만 허용됨).

• 이벤트 ID 3077 - 드라이버가 적용 정책을 위반하여 로드가 차단 되었습니다.

이벤트 세부 정보에서 정책 ID 필드를 찾습니다. 이 기능으로 인한 이벤트는 다음 정책 GUID 중 하나를 참조합니다.

• 감사 정책 : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}

• 정책 적용 : {8F9CB695-5D48-48D6-A329-7202B44607E3}

PowerShell을 사용하여 코드 무결성 이벤트 쿼리

PowerShell을 사용하여 이 기능과 관련된 이벤트를 빠르게 찾을 수 있습니다.

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

이벤트 세부 정보에는 감사되거나 차단된 드라이버의 이름과 영향을 받는 드라이버 또는 디바이스를 식별하는 데 도움이 될 수 있는 드라이버를 로드하려고 시도한 프로세스의 이름이 포함됩니다.

디바이스 사용자 또는 IT 관리자인 경우

1. 위의 단계를 사용하여 이벤트 로그를 확인 하여 차단되는 드라이버를 식별합니다.

2. 업데이트된 드라이버에 대한 Windows 업데이트 확인 합니다. WHCP 인증, 서명된 드라이버는 이미 Windows 업데이트 통해 사용할 수 있습니다. 설정 > Windows 업데이트 > 고급 옵션 > 선택적 업데이트 > 드라이버 업데이트 로 이동하여 사용 가능한 드라이버 업데이트를 검사.

3. 제조업체의 웹 사이트 를 방문하세요 . 공급업체의 공식 지원 페이지에서 최신 드라이버 버전을 다운로드합니다. 최신 버전은 WHCP 서명일 가능성이 높습니다.

4. 드라이버를 게시 하는 하드웨어 또는 소프트웨어 공급업체에 문의 하세요. WHCP 인증 버전의 드라이버를 사용할 수 있는지 여부와 해당 드라이버에 액세스할 수 있는 위치를 물어봅니다. 대부분의 공급업체는 이미 WHCP가 드라이버를 인증합니다.

드라이버 게시자인 경우

Windows용 커널 모드 드라이버를 개발하고 배포하는 경우 드라이버가 WHCP 프로세스를 통해 서명되었는지 확인해야 합니다.

1. Windows 하드웨어 개발자 센터 에 가입 합니다. 유효한 EV(확장 유효성 검사) 코드 서명 인증서를 사용하여 Windows 하드웨어 개발자 센터에 등록합니다.

2. 제출을 만듭니다 . 하드웨어 대시보드에서 새 제품을 만들고 인증을 위해 드라이버 패키지를 제출합니다.

3. HLK 테스트 를 실행합니다. Windows HLK(하드웨어 랩 키트)를 사용하여 드라이버 유형 및 디바이스 범주에 필요한 테스트를 실행합니다.

4. 서명을 위해 을 제출합니다 . 테스트가 통과되면 드라이버 패키지와 함께 HLK 결과를 제출합니다. Microsoft는 WHCP 인증서를 사용하여 드라이버에 서명합니다.

5. 서명된 드라이버 를 배포 합니다. 서명되면 Windows 업데이트 및/또는 웹 사이트를 통해 WHCP 인증 드라이버를 게시합니다.

Windows 드라이버 정책은 EFI 시스템 파티션에 저장되고 Windows 초기 부팅 구성 요소로 보호되는 서명된 코드 무결성 정책입니다. 기능을 해제하려면 관리자로 실행되는 악성 소프트웨어가 기능을 변조할 수 없도록 다음 수동 단계가 필요합니다.

1단계: 보안 부팅 사용 안 함

1. 컴퓨터를 다시 시작하고 UEFI 펌웨어 설정 메뉴 (BIOS)를 입력합니다. 일반적으로 부팅하는 동안 키를 눌러(예: F2 , F10 , Del 또는 Esc - 디바이스 제조업체 설명서에 검사) 이 작업을 수행할 수 있습니다.

   1. 또는 Windows: 설정 > 시스템 > 복구 > 고급 시작 > 지금 다시 시작 으로 이동합니다. 그런 다음, UEFI 펌웨어 설정 > > 고급 옵션 문제 해결 > 다시 시작을 선택합니다.

2. 펌웨어 설정에서 보안 부팅 옵션(일반적으로 보안 또는 부팅 탭 아래)을 찾습니다.

3. 보안 부팅을 사용 안 함으로 설정합니다.

4. 변경 내용을 저장하고 펌웨어 설정을 종료합니다.

2단계: EFI 시스템 파티션에서 정책 파일 삭제

1. 관리자 권한으로 PowerShell을 엽니다.

2. 다음을 실행하여 EFI 시스템 파티션을 탑재합니다.

mountvol S: /s

'S:' 대신 사용 가능한 모든 드라이브 문자를 사용할 수 있습니다.

3. 감사 정책 파일을 삭제합니다.

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

4. 적용 정책도 있는 경우 삭제합니다.

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

5. Windows 시스템 디렉터리에서 정책을 검사 삭제합니다.

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6. EFI 파티션 분리:

mountvol S: /d

3단계: 컴퓨터 다시 시작

변경 내용을 적용하려면 장치를 다시 시작하세요. 다시 시작한 후에는 정책이 더 이상 활성화되지 않으며 WHCP 인증이 없는 드라이버를 포함하여 서명된 모든 드라이버를 로드할 수 있습니다.

4단계: 보안 부팅 다시 사용

정책 파일을 제거한 후 UEFI 펌웨어 설정에서 보안 부팅을 다시 사용하도록 설정하여 다른 보안 부팅 보호를 유지합니다.

이 기능은 평가 모드 에서 시작하며, 여기서 로깅되지만 인증되지 않은 드라이버를 차단하지는 않습니다. 시스템이 평가 기준(충분한 가동 시간 및 정책 위반 없이 다시 부팅)을 충족하면 정책이 자동으로 적용 모드 로 전환되고 WHCP 서명되지 않은 드라이버는 차단됩니다. 이로 인해 이전에 작업하던 드라이버가 로드를 중지할 수 있습니다.

현재 개별 드라이버에 대한 정책을 우회할 수 있는 방법은 없습니다. 기능을 완전히 사용하지 않도록 설정하거나(위 참조) 드라이버 게시자에게 문의하여 드라이버의 WHCP 서명 버전을 제공하도록 요청할 수 있습니다.

이 기능은 커널 모드 드라이버에만 적용됩니다. 사용자 모드 애플리케이션은 이 정책의 영향을 받지 않습니다.

PowerShell에서 관리자로 다음 명령을 실행하여 검사 수 있습니다.

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

예 - Windows Server 2025 및 최신 서버 플랫폼. 그러나 Windows Server 부팅 세션 요구 사항은 2회 다시 부팅 (클라이언트 버전의 경우 3개와 비교)입니다. 다른 모든 기준은 동일합니다.

Windows를 다시 설정하거나 다시 설치하면 평가 모드에서 기능이 새로 시작됩니다. 평가 카운터가 다시 설정되고 적용으로의 전환이 처음부터 다시 시작됩니다.