Zasady dotyczące sterowników systemu Windows

Jeśli sterownik jest zablokowany przez te zasady, mogą zostać wyświetlone następujące informacje:

• Urządzenie sprzętowe nie działa poprawnie.

• Urządzenie peryferyjne lub składnik (drukarka, karta sieciowa, procesor GPU itp.) nie jest rozpoznawane.

• Nie można uruchomić aplikacji zależnej od sterownika jądra.

Możesz sprawdzić, czy zasady sterownika systemu Windows są odpowiedzialne, sprawdzając dzienniki zdarzeń integralności kodu przy użyciu dwóch poniższych metod.

Ręczne zdarzenia integralności kodu zapytania    

1. Kliknij prawym przyciskiem myszy przycisk Start i wybierz pozycję Podgląd zdarzeń .

2. W lewym okienku przejdź do pozycji Dzienniki aplikacji i usług > microsoft > Windows > CodeIntegrity > Operational

3. Poszukaj zdarzeń z następującymi identyfikatorami lub przefiltruj dziennik:

• Identyfikator zdarzenia 3076 — inspekcja sterownika (zostałaby zablokowana, ale dozwolona, ponieważ zasady są w trybie inspekcji).

• Zdarzenie o identyfikatorze 3077 — sterownikowi zablokowano możliwość ładowania, ponieważ naruszył zasady wymuszania.

W szczegółach zdarzenia poszukaj pola Identyfikator zasad . Zdarzenia spowodowane przez tę funkcję będą odwoływać się do jednego z następujących identyfikatorów GUID zasad:

• Zasady inspekcji : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}

• Wymuszanie zasad : {8F9CB695-5D48-48D6-A329-7202B44607E3}

Zdarzenia integralności kodu zapytania za pomocą programu PowerShell

Program PowerShell umożliwia szybkie znajdowanie zdarzeń związanych z tą funkcją:

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

Szczegóły zdarzenia będą zawierać nazwę sterownika, który został skontrolowany lub zablokowany, oraz nazwę procesu, który próbował załadować sterownik, co może pomóc w określeniu, którego sterownika lub urządzenia dotyczy problem.

Jeśli jesteś użytkownikem urządzenia lub administratorem IT

1. Sprawdź dzienniki zdarzeń , wykonując powyższe kroki, aby określić, który sterownik jest blokowany.

2. Sprawdź, Windows Update zaktualizowane sterowniki. Podpisane sterowniki z certyfikatem WHCP mogą być już dostępne za pośrednictwem Windows Update. Przejdź do pozycji Ustawienia > Windows Update > Opcje zaawansowane > Aktualizacje opcjonalne > Aktualizacje sterowników, aby sprawdzić dostępność aktualizacji sterowników.

3. Odwiedź witrynę internetową producenta . Pobierz najnowszą wersję sterownika z oficjalnej strony pomocy technicznej dostawcy — nowsze wersje mogą być podpisane przez WHCP.

4. Skontaktuj się z dostawcą sprzętu lub oprogramowania , który publikuje sterownik. Zapytaj ich, czy jest dostępna wersja sterownika z certyfikatem WHCP i gdzie można uzyskać do niego dostęp. Większość dostawców już certyfikuje sterowniki WHCP.

Jeśli jesteś wydawcą sterownika

Jeśli opracowujesz i rozpowszechniasz sterowniki trybu jądra dla systemu Windows, musisz upewnić się, że sterowniki są podpisane w procesie WHCP:

1. Dołącz do Centrum deweloperów sprzętu systemu Windows . Zarejestruj się w Centrum deweloperów sprzętu systemu Windows za pomocą ważnego certyfikatu podpisywania kodu ev (extended validation).

2. Utwórz żądanie przesłania . Na pulpicie nawigacyjnym sprzętu utwórz nowy produkt i prześlij pakiet sterowników do certyfikacji.

3. Uruchom testy HLK . Użyj zestawu Windows Hardware Lab Kit (HLK), aby uruchomić wymagane testy dla typu sterownika i kategorii urządzenia.

4. Prześlij do podpisania . Po zakończeniu testów prześlij wyniki HLK wraz z pakietem sterownika. Firma Microsoft podpisze sterownik za pomocą certyfikatu WHCP.

5. Rozpowszechnij podpisany sterownik . Po podpisaniu opublikuj sterownik z certyfikatem WHCP za pośrednictwem Windows Update i/lub witryny sieci Web.

Zasady sterowników systemu Windows to podpisane zasady integralności kodu przechowywane na partycji systemu EFI i chronione przez składniki wczesnego rozruchu systemu Windows. Wyłączenie tej funkcji wymaga wykonania następujących instrukcji ręcznych, aby złośliwe oprogramowanie działające jako administrator nie może modyfikować tej funkcji:

Krok 1. Wyłączanie bezpiecznego rozruchu

1. Uruchom ponownie komputer i wprowadź menu ustawień oprogramowania układowego UEFI (BIOS). Zazwyczaj można to zrobić, naciskając klawisz podczas rozruchu (np . F2 , F10 , Del lub Esc — sprawdź dokumentację producenta urządzenia)

   1. Alternatywnie w systemie Windows: przejdź do pozycji Ustawienia > System > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom ponownie teraz . Następnie wybierz pozycję Rozwiązywanie problemów > Opcje zaawansowane > ustawienia oprogramowania układowego UEFI > uruchom ponownie .

2. W ustawieniach oprogramowania układowego znajdź opcję Bezpiecznego rozruchu (zwykle na karcie Zabezpieczenia lub Rozruch ).

3. Ustaw bezpieczny rozruch na wyłączony .

4. Zapisz zmiany i zamknij ustawienia oprogramowania układowego.

Krok 2. Usunięcie plików zasad z partycji systemu EFI

1. Otwórz program PowerShell jako administrator .

2. Zamontuj partycję systemu EFI, uruchamiając:

mountvol S: /s

W miejscu litery "S:" możesz użyć dowolnej dostępnej litery dysku.

3. Usuń plik zasad inspekcji:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

4. Jeśli zasady wymuszania również są obecne, usuń je:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

5. Sprawdź też zasady i usuń je z katalogu systemu Windows:

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6. Odinstaluj partycję EFI:

mountvol S: /d

Krok 3. Ponowne uruchomienie komputera

Aby zmiany zostały wprowadzone, musisz ponownie uruchomić urządzenie. Po ponownym uruchomieniu zasady nie będą już aktywne, a wszystkie podpisane sterowniki — w tym sterowniki bez certyfikatu WHCP — będą mogły ładować.

Krok 4. Ponowne włączenie bezpiecznego rozruchu

Po usunięciu plików zasad ponownie włącz bezpieczny rozruch w ustawieniach oprogramowania układowego UEFI, aby zachować inne zabezpieczenia bezpiecznego rozruchu.

Funkcja uruchamia się w trybie oceny , gdzie loguje się, ale nie blokuje sterowników niecertyfikowanych. Po spełnieniu przez system kryteriów oceny (wystarczającej ilości czasu pracy i ponownego uruchomienia bez naruszeń zasad) zasady są automatycznie przenoszone do trybu wymuszania , a sterowniki, które nie są podpisane przez WHCP, zostaną zablokowane. Może to spowodować zatrzymanie ładowania sterowników, które wcześniej działały.

Obecnie nie można pominąć zasad dla poszczególnych sterowników. Możesz całkowicie wyłączyć tę funkcję (patrz wyżej) lub — najlepiej — skontaktować się z wydawcą sterownika i poprosić go o podanie wersji sterownika podpisanej przez WHCP.

Ta funkcja dotyczy tylko sterowników trybu jądra . Te zasady nie wpływają na aplikacje w trybie użytkownika.

Możesz to sprawdzić, uruchamiając następujące polecenia jako administrator w programie PowerShell:

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

Tak — Windows Server 2025 i nowsze platformy serwerowe. Jednak w Windows Server wymaganie sesji rozruchu to 2 ponowne uruchomienie (w porównaniu do 3 w wersjach klienckich). Wszystkie inne kryteria są takie same.

Jeśli zresetujesz lub ponownie zainstalujesz system Windows, ta funkcja rozpocznie się od nowa w trybie oceny. Liczniki oceny zostaną zresetowane, a przejście do wymuszania rozpocznie się ponownie od początku.