"Windows" yra saugos funkcija , vadinama branduolio kodo vientisumu , kuri padeda apsaugoti sistemą užtikrindama, kad į sistemą įkeltos branduolio tvarkyklės veiktų vientisumu ir būtų kriptografiškai pasirašytos institucijos, kuria pasitiki "Microsoft".
Jei matote šį pranešimą, tai reiškia, kad tvarkyklė arba branduolio režimo programinė įranga, nėra tinkamai pasirašyta arba neatitinka "Windows" branduolio kodo vientisumo pasirašymo reikalavimų.
"Windows" reikalauja, kad visos naujos tvarkyklės būtų pateiktos ir pasirašytos per "Windows" aparatūros suderinamumo programos (WHCP) procesą. "Windows" anksčiau pasitikėjo tvarkyklėmis, pasirašytomis dabar nebegaliojančios kryžminės programos . Tačiau su 2026 m. balandžio mėn. saugos naujinimu šios tvarkyklės pagal numatytuosius parametrus nebėra patikimos. Skelbimą galima rasti čia: https://go.microsoft.com/fwlink/?linkid=2356646.
Kas yra "Windows" tvarkyklės strategija?
"Windows" tvarkyklės strategija yra "Windows" branduolio strategija, kuri riboja, kurias branduolio režimo tvarkykles galima įkelti į jūsų įrenginį. Kai aktyvios, leidžiama įkelti tik šias tvarkykles:
-
Tvarkyklės, tinkamai pasirašytos naudojant "Microsoft" WHCP sertifikavimo procesą
-
Tvarkyklės, rodomos "Windows" tvarkyklės strategijoje, leidžia peržiūrėti patikimų tvarkyklių, pasirašytų naudojant kryžminę programą, sąrašą
Tvarkyklės, kurios nėra pasirašytos arba rodomos "Microsoft" WHCP "Windows" tvarkyklės strategijoje, bus užblokuotos aprėptyse, įjungtose sistemose.
Ši funkcija padeda apsisaugoti nuo galimai nesaugių arba neišbandytų tvarkyklių, todėl sumažėja kenkėjiškų programų rizika, sistemos nestabilumas ir nepatvirtintų tvarkyklių bei tvarkyklių leidėjų sukeliami saugos pažeidžiamumai.
Kaip veikia ši funkcija?
"Windows" tvarkyklės strategija naudoja dviejų etapų metodą, pvz., "Smart App Control ", kad palaipsniui padidintų įrenginio apsaugą:
Vertinimo režimas (auditas)
Pirmą kartą suaktyvinus funkciją, ji paleidžiama vertinimo režimu . Šiame etape:
-
Strategijos blokuojamos tvarkyklės tikrinamos, tačiau vis tiek leidžiama įkelti . Taip užtikrinsite, kad įrenginys toliau veiktų įprastai, o "Windows" nustatys, ar vykdymas tinka jūsų sistemai.
-
"Windows" seka, kiek tvarkyklių jūsų sistemoje paveiks strategija.
-
Jei vertinimo metu aptinkama tvarkyklė, kuri pažeis strategiją, vertinimo eiga nustatoma iš naujo . Tai reiškia, kad vykdymas pradedamas iš naujo, suteikiant "Windows" daugiau laiko stebėti sistemos tvarkyklių naudojimą.
Vertinimo kriterijai
"Windows" stebi šiuos kriterijus, kad nustatytų, kada jūsų įrenginys paruoštas vykdymui:
-
Sistemos veikimo laikas : jūsų įrenginys turi būti sukaupęs 100 valandų aktyvaus naudojimo.
-
Įkrovos seansai : nuo įvertinimo pradžios įrenginys turi būti paleistas iš naujo bent 3 kartus (Windows Server 2 kartus).
-
Nėra strategijos pažeidimų : jei tvarkyklė, kuri būtų užblokuota, įkeliama vertinimo laikotarpiu, veikimo ir įkrovos seansų skaitikliai iš naujo atkuriami į nulį , pratęsiant vertinimo laikotarpį.
Jei jūsų įrenginys nuolat įkelia tvarkykles, kurios atitinka strategiją ir atitinka šiuos kriterijus, sistema laikoma tinkama vykdymo užtikrinimo kandidate.
Vykdymo režimas
Kai vertinimo kriterijai patenkinami, "Windows" automatiškai pereina į vykdymo režimą . Šiame etape:
-
Įrenginiai apsaugoti nuo tvarkyklių, kurios neatitinka "Windows" tvarkyklės strategijoje nustatytų pasirašymo reikalavimų.
-
Šios tvarkyklės blokuojamos, kad būtų galima įkelti ir generuoti diagnostikos duomenis "Microsoft", kad juos būtų galima peržiūrėti, ir "Windows" įvykių žurnalo įrašus, kuriuos galite peržiūrėti.
-
Konkrečių tvarkyklių ir leidėjų leidžiamųjų sąrašas įtrauktas į strategiją, kad būtų galima toliau veikti tam tikroms plačiai naudojamoms senstelėjusioms tvarkyklėms, kurios dar nepatvirtintos WHCP.
Kai vykdymo režimas aktyvus, strategija lieka galioti perkrovimuose.
Dažnai užduodami klausimai
Jei šią strategiją blokuoja tvarkyklė, galite matyti:
-
Aparatūros įrenginys veikia netinkamai.
-
Neatpažįstamas periferinis įrenginys arba komponentas (spausdintuvas, tinklo adapteris, GPU ir t. t.).
-
Nepavyksta paleisti programos, kuri priklauso nuo branduolio tvarkyklės.
Galite patikrinti, ar "Windows" tvarkyklės strategija yra atsakinga, patikrindami kodo vientisumo įvykių žurnalus šiais dviem būdais.
Užklausos kodo vientisumo įvykiai rankiniu būdu
-
Dešiniuoju pelės mygtuku spustelėkite pradžios mygtuką ir pasirinkite Įvykių peržiūros programa .
-
Kairiojoje srityje eikite į: Programų ir paslaugų žurnalai > "Microsoft" > "Windows > CodeIntegrity > Operational"
-
Įvykių su šiaisDN ieškokite arba filtruokite žurnalą:
-
Įvykio ID 3076 – buvo audituota tvarkyklė (buvo užblokuota, bet buvo leidžiama, nes strategija veikia audito režimu).
-
Įvykio ID 3077 – tvarkyklės įkėlimas užblokuotas , nes ji pažeidė vykdymo strategiją.
Įvykio informacijoje ieškokite lauko Strategijos ID . Šios funkcijos sukelti įvykiai nurodys vieną iš šių strategijos GUID:
-
Audito strategija : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}
-
Įgalinti strategiją : {8F9CB695-5D48-48D6-A329-7202B44607E3}
Užklausos kodo vientisumo įvykiai su "PowerShell"
Naudodami "PowerShell" galite greitai rasti įvykius, susijusius su šia funkcija:
# Find audit events (Event ID 3076) from the Windows Driver audit policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
# Find block events (Event ID 3077) from the Windows Driver enforced policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
Įvykio informacijoje bus nurodytas audituotos arba užblokuotos tvarkyklės pavadinimas ir proceso, kuris bandė įkelti tvarkyklę, pavadinimas, kuris gali padėti nustatyti, kuri tvarkyklė ar įrenginys paveiktas.
Jei esate įrenginio vartotojas arba IT administratorius
-
Patikrinkite įvykių žurnalus atlikdami anksčiau nurodytus veiksmus, kad nustatytumėte, kuri tvarkyklė yra užblokuota.
-
Patikrinkite, ar „Windows Update“ yra atnaujintų tvarkyklių. WHCP sertifikuotos pasirašytos tvarkyklės jau gali būti pasiekiamos per „Windows Update“. Eikite į Parametrai > „Windows Update“ > Išplėstinės parinktys > Pasirinktiniai naujinimai > Tvarkyklės naujinimai ir patikrinkite, ar yra tvarkyklių naujinimų.
-
Apsilankykite gamintojo svetainėje . Atsisiųskite naujausią tvarkyklės versiją iš oficialaus tiekėjo palaikymo puslapio – naujesnės versijos greičiausiai bus pasirašytos WHCP.
4. Kreipkitės į aparatūros arba programinės įrangos tiekėją , kuris publikuoja tvarkyklę. Paklauskite jų, ar yra WHCP sertifikuota tvarkyklės versija ir kur ją pasiekti. Dauguma tiekėjų jau WHCP patvirtina savo tvarkykles.
Jei esate tvarkyklės leidėjas
Jei kuriate ir platinate branduolio režimo tvarkykles, skirtas "Windows", turite užtikrinti, kad jūsų tvarkyklės būtų pasirašytos per WHCP procesą:
-
Prisijunkite prie "Windows" aparatūros kūrėjų centro . Registruokitės "Windows" aparatūros kūrėjų centre naudodami galiojantį EV (išplėstinio tikrinimo) kodo pasirašymo sertifikatą.
-
Kurti pateikimą . Aparatūros ataskaitų srityje sukurkite naują produktą ir pateikite tvarkyklės paketą sertifikavimui.
-
Paleiskite HLK testus . Naudokite "Windows" aparatūros laboratorijos rinkinį (HLK), kad paleistumėte reikalingus jūsų tvarkyklės tipo ir įrenginio kategorijos testus.
-
Pateikti pasirašyti . Atlikę testus, pateikite HLK rezultatus kartu su tvarkyklės paketu. "Microsoft" pasirašys tvarkyklę naudodama WHCP sertifikatą.
-
Paskirstyti pasirašytą tvarkyklę . Pasirašę publikuokite WHCP sertifikuotą tvarkyklę per „Windows Update“ ir (arba) savo žiniatinklio svetainėje.
Svarbu: Sistemose, kuriose veikia "Windows" tvarkyklės strategija vykdymo režimu, gali būti blokuojamos tvarkyklės, pasirašytos tik naudojant kryžminius sertifikatus be WHCP sertifikato.
Įspėjimas: Išjungus šią funkciją sumažinama įrenginio sauga. Rekomenduojame palikti jį įjungtą ir dirbti su tvarkyklių leidėjais, kad būtų gautos WHCP pasirašytos tvarkyklės.
"Windows" tvarkyklės strategija yra pasirašyta kodo vientisumo strategija, saugoma EFI sistemos skaidinyje ir apsaugota "Windows" ankstyvos įkrovos komponentų. Norint išjungti šią funkciją, reikia atlikti šiuos veiksmus rankiniu būdu, kad administratoriui veikianti kenkėjiška programinė įranga negalėtų piktavališkai pakeisti funkcijos:
1 veiksmas: išjunkite saugiąją įkrovą
-
Paleiskite kompiuterį iš naujo ir įveskite UEFI programinės-aparatinės įrangos parametrų meniu (BIOS). Paprastai tai galite padaryti paspausdami klavišą įkrovos metu (pvz., F2 , F10 , "Del " arba " Esc " – patikrinkite įrenginio gamintojo dokumentaciją)
-
Arba sistemoje "Windows": eikite į Parametrai > Sistemos > atkūrimas > Išplėstinė paleisties > Paleisti iš naujo dabar . Tada pasirinkite Pašalinti gedimą > Išplėstinės parinktys > UEFI programinės-aparatinės įrangos parametrai > Paleisti iš naujo .
-
-
Programinės-aparatinės įrangos parametruose raskite saugiosios įkrovos parinktį (paprastai skirtuke Sauga arba Įkrova ).
-
Nustatykite saugiosios įkrovos parinktį Išjungta .
-
Įrašykite keitimus ir išeikite iš programinės-aparatinės įrangos parametrų.
2 veiksmas: panaikinkite strategijos failus iš EFI sistemos skaidinio
1. Atidarykite "PowerShell" administratoriaus teisėmis .
2. Efi sistemos skaidinio montavimas vykdant:
mountvol S: /s
Vietoj raidės S galite naudoti bet kurią pasiekiamą disko raidę.
3. Panaikinkite audito strategijos failą:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
4. Jei vykdymo politika taip pat taikoma, panaikinkite ją:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
5. Taip pat patikrinkite ir panaikinkite strategijas iš "Windows" sistemos katalogo:
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
6. Atjunkite EFI skaidinį:
mountvol S: /d
3 veiksmas: paleiskite kompiuterį iš naujo
Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai. Paleidus iš naujo strategija nebebus aktyvi ir bus leidžiama įkelti visas pasirašytas tvarkykles, įskaitant tas, kurios neturi WHCP sertifikato.
4 veiksmas: iš naujo įgalinkite saugią įkrovą
Pašalinę strategijos failus, UEFI programinės-aparatinės įrangos parametruose iš naujo įjunkite saugiąją įkrovą, kad išlaikytumėte kitas saugiosios įkrovos apsaugos priemones.
Funkcija paleidžiama vertinimo režimu , kur ji registruoja, bet neblokuoja nepatvirtintų tvarkyklių. Kai sistema atitinka vertinimo kriterijus (pakanka veikimo ir perkrovimo be strategijos pažeidimų), strategija automatiškai pereina į vykdymo režimą ir tvarkyklės, kurios nėra pasirašytos WHCP, bus užblokuotos. Dėl to tvarkyklės, kurios anksčiau veikė, gali nustoti įkelti.
Šiuo metu nėra būdo apeiti atskirų tvarkyklių strategijos. Galite visiškai išjungti funkciją (žr. anksčiau) arba, pageidautina, susisiekite su tvarkyklės leidėju ir paprašykite pateikti savo tvarkyklės WHCP pasirašytą versiją.
Ši funkcija taikoma tik branduolio režimo tvarkyklėms . Ši strategija neturi įtakos vartotojo režimo programoms.
Galite patikrinti paleisdami šias komandas kaip "PowerShell" administratorius:
$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }
$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }
if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }
elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }
else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }
Taip – 2025 Windows Server ir naujesnės serverių platformos. Tačiau Windows Server įkrovos seanso reikalavimas yra 2 paleidimas iš naujo (palyginti su 3 kliento leidimuose). Visi kiti kriterijai yra tokie patys.
Jei iš naujo nustatysite arba iš naujo įdiegsite "Windows", ši funkcija bus paleista iš naujo vertinimo režimu. Įvertinimo skaitikliai bus nustatyti iš naujo ir perėjimas prie vykdymo užtikrinimo bus pradėtas iš naujo.
Reikia daugiau pagalbos?
Jei ir toliau kyla problemų dėl užblokuotos tvarkyklės, apsilankykite "Microsoft Community" forumuose arba kreipkitės į "Microsoft" palaikymo tarnybą .
Laukiame jūsų atsiliepimų apie šią funkciją. Norėdami bendrinti savo patirtį:
-
Sistemoje "Windows" atidarykite atsiliepimų telkinį (paspauskite Win + F ).
2. Atlikdami 2 veiksmą — Pasirinkite kategoriją , pasirinkite Sauga ir privatumas > Programėlių valdymas .
