Windows obsahuje funkciu zabezpečenia s názvom Integrita kódu jadra , ktorá pomáha chrániť váš systém tým, že zabezpečuje, aby ovládače jadra načítané do vášho systému boli spustené s integritou a kryptograficky podpísané autoritou dôveryhodnou spoločnosťou Microsoft.
Ak sa zobrazí toto hlásenie, znamená to, že ovládač alebo softvér režimu jadra nie je správne podpísaný alebo nespĺňa požiadavky na podpisovanie integrity kódu jadra systému Windows.
Windows vyžaduje, aby sa všetky nové ovládače odoslali a podpísali prostredníctvom procesu WHCP (Hardware Compatibility Program) systému Windows . Windows predtým dôveryhodné ovládače podpísané krížovo podpísaným programom s uplynutou platnosťou. V aktualizácii zabezpečenia z apríla 2026 sa však tieto ovládače už predvolene nepovažujú za dôveryhodné. Oznámenie je k dispozícii tu: https://go.microsoft.com/fwlink/?linkid=2356646.
Aká je politika ovládača systému Windows?
Politika ovládača systému Windows je politika v jadre Windowsu, ktorá obmedzuje, ktoré ovládače režimu jadra sa môžu načítať do vášho zariadenia. Keď je táto funkcia aktívna, môžu sa načítať iba tieto ovládače:
-
Ovládače správne podpísané prostredníctvom procesu certifikácie WhCP od spoločnosti Microsoft
-
Ovládače, ktoré sa zobrazujú v politike ovládačov systému Windows, umožňujú zoznam dôveryhodných ovládačov podpísaných krížovým podpisom programu
Ovládače, ktoré nie sú podpísané programom Microsoft WHCP alebo sa zobrazujú v politike ovládača systému Windows, budú blokované v rámci povolených systémov.
Táto funkcia pomáha chrániť vás pred potenciálne nebezpečnými alebo netestovanými ovládačmi, čím sa znižuje riziko malvéru, nestability systému a zraniteľnosti zabezpečenia spôsobených neovereným ovládačom a vydavateľmi ovládačov.
Ako táto funkcia funguje?
Politika Ovládač systému Windows používa dvojfázový prístup, ako je napríklad inteligentné ovládanie aplikácií , na postupné zvýšenie ochrany vo vašom zariadení:
Režim vyhodnocovania (audit)
Keď je funkcia prvýkrát aktivovaná, spustí sa v režime vyhodnocovania . V tejto fáze:
-
Faktory, ktoré by boli blokované politikou, sú auditované, ale stále môžu načítať . Tým sa zabezpečí, že vaše zariadenie bude naďalej fungovať normálne, zatiaľ čo Windows určí, či je vynútenie vhodné pre váš systém.
-
Windows sleduje počet ovládačov v systéme, ktoré by boli ovplyvnené politikou.
-
Ak sa počas hodnotenia zistí faktor, ktorý by porušil politiku, priebeh hodnotenia sa obnoví . Znamená to, že odpočítavanie na vynútenie sa začína odznova, čo Windowsu poskytuje viac času na sledovanie používania ovládačov systému.
Kritériá hodnotenia
Windows monitoruje nasledujúce kritériá a určuje, kedy je vaše zariadenie pripravené na vynútenie:
-
Doba prevádzky systému : Vaše zariadenie musí mať nahromadených 100 hodín aktívneho používania.
-
Relácie spúšťania : Od začiatku hodnotenia musí byť vaše zariadenie reštartované aspoň 3-krát (2-krát na Windows Server).
-
Žiadne porušenie politiky : Ak sa počas obdobia hodnotenia načíta ovládač, ktorý by bol zablokovaný, počítadlá relácie prevádzky a spustenia sa obnovia na nulu , čím sa predĺži obdobie hodnotenia.
Ak vaše zariadenie neustále načítava ovládače, ktoré prejdú politikou a spĺňajú tieto kritériá, systém sa považuje za vhodného kandidáta na presadzovanie.
Režim vynútenia
Po splnení kritérií hodnotenia Windows automaticky prejde do režimu presadzovania. V tejto fáze:
-
Zariadenia sú chránené pred ovládačmi, ktoré nespĺňajú požiadavky na podpisovanie v politike Windows Driver.
-
Tieto ovládače sú blokované načítanie a generovanie diagnostických údajov pre spoločnosť Microsoft na kontrolu a položky v denníku udalostí systému Windows, ktoré môžete skontrolovať.
-
Zoznam povolených konkrétnych ovládačov a vydavateľov je súčasťou politiky, ktorá umožňuje, aby niektoré bežne používané staršie ovládače, ktoré ešte neboli certifikované whcp, mohli naďalej fungovať.
Keď je režim presadzovania práva aktívny, politika zostáva v platnosti pri reštartoch.
Najčastejšie otázky
Ak je ovládač zablokovaný touto politikou, môže sa zobraziť:
-
Hardvérové zariadenie nefunguje správne.
-
Periférne zariadenie alebo súčasť (tlačiareň, sieťový adaptér, GPU atď.) sa nerozpoznáva.
-
Aplikácia, ktorá závisí od ovládača jadra, sa nespustí.
To, či je politika ovládača systému Windows zodpovedná, môžete potvrdiť kontrolou denníkov udalostí integrity kódu pomocou nasledujúcich dvoch metód.
Manuálne udalosti integrity kódu dotazu
-
Kliknite pravým tlačidlom myši na tlačidlo Štart a vyberte položku Zobrazovač udalostí .
-
Na ľavej table prejdite na položku: Denníky aplikácií a služieb > Microsoft > Windows > CodeIntegrity > Prevádzkové
-
Vyhľadajte alebo filtrujte denník pre udalosti s týmito identifikátormi:
-
Identifikácia udalosti 3076 – ovládač bol auditovaný (bol zablokovaný, ale bol povolený, pretože politika je v režime auditu).
-
IDENTIFIKÁCIA udalosti 3077 – Načítanie ovládača bolo zablokované , pretože porušilo politiku presadzovania práva.
V podrobnostiach udalosti vyhľadajte pole IDENTIFIKÁCIA politiky . Udalosti spôsobené touto funkciou odkazujú na jednu z nasledujúcich identifikátorov GUID politiky:
-
Politika auditu : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}
-
Vynútiť politiku : {8F9CB695-5D48-48D6-A329-7202B44607E3}
Udalosti integrity kódu dotazu pomocou prostredia PowerShell
Pomocou prostredia PowerShell môžete rýchlo nájsť udalosti súvisiace s touto funkciou:
# Find audit events (Event ID 3076) from the Windows Driver audit policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
# Find block events (Event ID 3077) from the Windows Driver enforced policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
Podrobnosti o udalosti budú obsahovať názov ovládača, ktorý bol auditovaný alebo zablokovaný, a názov procesu, ktorý sa pokúsil načítať ovládač, čo vám môže pomôcť identifikovať, ktorý ovládač alebo zariadenie je ovplyvnený.
Ak ste používateľom zariadenia alebo správcom IT,
-
Pomocou vyššie uvedených krokov skontrolujte denníky udalostí a zistite, ktorý ovládač je blokovaný.
-
Skontrolujte aktualizované ovládače v Windows Update. Certifikát WHCP, podpísané ovládače už môžu byť k dispozícii prostredníctvom Windows Update. Prejdite do časti Nastavenia > Windows Update > Rozšírené možnosti > Voliteľné aktualizácie > aktualizácie ovládačov a vyhľadajte dostupné aktualizácie ovládačov.
-
Navštívte webovú lokalitu výrobcu . Stiahnite si najnovšiu verziu ovládača z oficiálnej stránky technickej podpory dodávateľa – je pravdepodobnejšie, že novšie verzie budú podpísané whcp.
4. Obráťte sa na dodávateľa hardvéru alebo softvéru , ktorý publikuje ovládač. Položte im otázku, či je k dispozícii verzia ovládača certifikovaná whcp a kde k nemu máte prístup. Väčšina dodávateľov už whcp certifikuje svoje ovládače.
Ak ste vydavateľ ovládačov
Ak vyvíjate a distribuujete ovládače režimu jadra pre Systém Windows, musíte zabezpečiť, aby boli vaše ovládače podpísané procesom WHCP:
-
Pripojte sa k Vývoju hardvéru systému Windows . Zaregistrujte sa na lokalite Windows Hardware Dev Center s platným podpisovým certifikátom EV (Rozšírené overovanie).
-
Vytvorenie odoslania . Na tabuli hardvéru vytvorte nový produkt a odošlite balík ovládačov na certifikáciu.
-
Spustite testy HLK . Súpravu Windows Hardware Lab Kit (HLK) použite na spustenie požadovaných testov typu ovládača a kategórie zariadenia.
-
Odoslať na podpísanie . Po absolvovaní testov odošlite výsledky HLK spolu s balíkom ovládačov. Spoločnosť Microsoft podpíše ovládač s certifikátom WHCP.
-
Distribúcia podpísaného ovládača . Po podpísaní publikujte ovládač certifikovaný whcp prostredníctvom Windows Update alebo webovej lokality.
Dôležité: Ovládače podpísané iba pomocou krížových certifikátov bez certifikácie WHCP môžu byť v systémoch s politikou ovládačov systému Windows v režime presadzovania zablokované.
Upozornenie: Vypnutím tejto funkcie sa zníži zabezpečenie vášho zariadenia. Odporúčame, aby bol povolený a pracoval s vydavateľmi ovládačov, aby ste získali ovládače s podpisom WHCP.
Politika ovládača systému Windows je podpísaná politika integrity kódu uložená v oblasti systému EFI a chránená súčasťami včasného spustenia systému Windows. Vypnutie funkcie vyžaduje nasledujúce manuálne kroky, aby škodlivý softvér spustený ako správca nemohol s funkciou manipulovať:
Krok 1: Vypnutie zabezpečeného spustenia
-
Reštartujte počítač a zadajte ponuku nastavení firmvéru UEFI (BIOS). Zvyčajne to môžete urobiť stlačením klávesu počas spúšťania (napríklad F2 , F10 , Del alebo Esc – skontrolujte dokumentáciu výrobcu zariadenia).
-
Prípadne vo Windowse: prejdite na nastavenia > systému > obnovenie > Rozšírené spustenie > Reštartovať teraz . Potom vyberte položku Riešiť problémy > rozšírené možnosti > nastavenia firmvéru UEFI > Reštartovať .
-
-
V nastaveniach firmvéru vyhľadajte možnosť Zabezpečené spustenie (zvyčajne na karte Zabezpečenie alebo Spustenie ).
-
Nastavenie zabezpečeného spustenia na možnosť Vypnuté .
-
Uložte zmeny a ukončite nastavenia firmvéru.
Krok 2: Odstránenie súborov politiky zo systémovej oblasti EFI
1. Otvorte prostredie PowerShell ako správca .
2. Pripojte systémovú oblasť EFI spustením:
mountvol S: /s
Namiesto písmena S:môžete použiť ľubovoľné dostupné písmeno jednotky.
3. Odstráňte súbor politiky auditu:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
4. Ak je prítomná aj politika presadzovania práva, odstráňte ju:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
5. Tiež skontrolujte a odstráňte politiky z adresára systému Windows:
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
6. Odpojiť oblasť EFI:
mountvol S: /d
Krok 3: Reštartovanie počítača
Reštartujte zariadenie, aby sa zmeny prejavili. Po reštarte už politika nebude aktívna a všetky podpísané ovládače vrátane tých, ktoré nemajú certifikáciu WHCP, sa budú môcť načítať.
Krok 4: Opätovné povolenie zabezpečeného spustenia
Po odstránení súborov politiky znova povoľte zabezpečené spustenie v nastaveniach firmvéru UEFI, aby ste zachovali ďalšie ochrany zabezpečeného spustenia.
Funkcia sa spustí v režime vyhodnocovania , kde sa zaznamenáva, ale neblokuje necertifikované ovládače. Keď váš systém splní kritériá hodnotenia (dostatočný čas prevádzky a reštarty bez porušenia politiky), politika automaticky prejde do režimu presadzovania a ovládače, ktoré nie sú podpísané WHCP, sa zablokujú. To môže spôsobiť, že ovládače, ktoré predtým pracovali, zastavili načítanie.
V súčasnosti neexistuje spôsob, ako obísť politiku pre jednotlivých vodičov. Funkciu môžete buď úplne vypnúť (pozri vyššie), alebo sa môžete obrátiť na vydavateľa ovládača a požiadať ho, aby poskytol verziu ovládača s podpisom WHCP.
Táto funkcia sa vzťahuje len na ovládače režimu jadra . Táto politika neovplyvní aplikácie používateľského režimu.
Môžete to skontrolovať spustením nasledujúcich príkazov ako správca v prostredí PowerShell:
$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }
$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }
if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }
elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }
else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }
Áno – Windows Server 2025 a novšie serverové platformy. V Windows Server je však požiadavka relácie spúšťania 2 reštarty (v porovnaní s 3 v klientskych vydaniach). Všetky ostatné kritériá sú rovnaké.
Ak obnovíte alebo preinštalujete Windows, funkcia sa začne odznova v režime vyhodnocovania. Počítadlá hodnotenia sa obnovia a prechod na presadzovanie sa začne znova od začiatku.
Potrebujete ďalšiu pomoc?
Ak sa problémy s blokovaným ovládačom vyskytnú aj naďalej, navštívte fóra komunity spoločnosti Microsoft alebo sa obráťte na technickú podporu spoločnosti Microsoft .
Radi by sme vaše pripomienky k tejto funkcii. Zdieľanie skúseností:
-
Vo Windowse otvorte Centrum pripomienok (stlačte kombináciu klávesov Win + F ).
2. V kroku 2 – Vyberte kategóriu , vyberte položku Zabezpečenie a ochrana osobných údajov > ovládací prvok aplikácie .
