Windows vključuje varnostno funkcijo, imenovano celovitost kode jedra, ki pomaga zaščititi vaš sistem tako, da zagotavlja, da se gonilniki jedra, naloženi v vašem sistemu, izvajajo celovito in jih kriptografsko podpiše Microsoftov overitelj, ki mu zaupate.

Če se prikaže to sporočilo, to pomeni, da programska oprema gonilnika ali jedrnega načina ni pravilno podpisana ali ne izpolnjuje zahtev za podpisovanje kode jedra sistema Windows.

Varnost sistema Windows pogovorno okno bloka, ki se prikaže, ko je gonilnik blokiran

Windows zahteva, da so vsi novi gonilniki poslani in podpisani prek postopka WHCP (Windows Hardware Compatibility Program ). Windows je prej zaupal gonilnikom, ki jih je podpisal navzkrižno podpisan program, ki je zdaj že potekel . Vendar pa z varnostno posodobitvijo iz aprila 2026 ti gonilniki privzeto niso več zaupanja vredni. Obvestilo je na voljo tukaj: https://go.microsoft.com/fwlink/?linkid=2356646.

Kaj je pravilnik za gonilnike sistema Windows?

Pravilnik gonilnika sistema Windows je pravilnik v jedru sistema Windows, ki omejuje, kateri gonilniki jedrnega načina se lahko naložijo v vaši napravi. Ko je ta funkcija aktivna, se lahko naložijo le ti gonilniki:

  1. Pravilno podpisani gonilniki v postopku preverjanja Microsoft WHCP

  2. Gonilniki, ki so prikazani v pravilniku za gonilnike sistema Windows, dovolijo seznam uglednih gonilnikov, ki jih je podpisal navzkrižno podpisan program

Gonilniki, ki niso podpisani ali prikazani v pravilniku gonilnika Windows WHCP, bodo blokirani v obsegu in omogočenih sistemih.

Ta funkcija vas ščiti pred morebitno nevarnimi ali nepreverjenim gonilniki, kar zmanjša tveganje zlonamerne programske opreme, nestabilnosti sistema in varnostnih ranljivosti, ki jih povzročajo nevtešeni gonilniki in založniki gonilnikov.

Kako deluje ta funkcija?

Pravilnik za gonilnike sistema Windows uporablja dvofazni pristop, kot je Smart App Control , za postopno povečanje zaščite v vaši napravi:

Način ocenjevanja (nadzor)

Ko prvič aktivirate funkcijo, se začne v načinu ocenjevanja . V tej fazi:

  • Gonilniki, ki bi jih pravilnik blokiral, se nadzirajo, vendar se še vedno lahko naložijo . S tem poskrbite, da bo naprava še naprej delovala normalno, medtem ko sistem Windows določi, ali je uveljavljanje dobro primerno za vaš sistem.

  • Windows spremlja, koliko gonilnikov v vašem sistemu bi ta pravilnik vplival.

  • Če je med vrednotenjem zaznan gonilnik, ki bi kršil pravilnik, se napredek ocenjevanja ponastavi . To pomeni, da se odštevanje uveljavljanja začne znova, kar sistemu Windows da več časa za opazovanje uporabe gonilnikov sistema.

Merila za vrednotenje

Sistem Windows nadzoruje te pogoje, s katerimi določi, kdaj je naprava pripravljena za uveljavitev:

  • Čas delovanja sistema : Vaša naprava mora zbirati 100 ur aktivne uporabe.

  • Zagonske seje: Naprava se mora od začetka Windows Server vsaj trikrat znova zagnati.

  • Brez kršitev pravilnika: Če je gonilnik, ki bi bil blokiran, naložen med obdobjem ocenjevanja, se števci izvajalnika delovanja in seje zagona ponastavijo na nič , podaljšajo obdobje ocenjevanja.

Če vaša naprava dosledno nalaga gonilnike, ki izpolnjujejo pravilnik za izvajanje in izpolnjujejo ta merila, je sistem dober kandidat za uveljavljanje.

Način uveljavljanja

Ko so merila za vrednotenje izpolnjena, Sistem Windows samodejno preteče v način uveljavljanja . V tej fazi:

  • Naprave so zaščitene pred gonilniki, ki ne izpolnjujejo zahtev za podpisovanje v pravilniku za gonilnike sistema Windows.

  • Ti gonilniki so blokirani za nalaganje in ustvarjanje diagnostičnih podatkov za Microsoft, ki jih lahko pregleda, ter vnosov v dnevnik dogodkov sistema Windows, ki jih lahko pregledate.

  • V pravilnik je vključen seznam dovoljenj za določene gonilnike in izdajatelje, ki določenim splošno razširjenim starejšim gonilnikom, ki še niso bili potrjeni za WHCP, omogoča nadaljevanje delovanja.

Ko je način uveljavljanja aktiven, pravilnik velja v vseh ponovnih zagonih.

Pogosta vprašanja

Če ta pravilnik blokira gonilnik, boste morda videli:

  • Naprava strojne opreme ne deluje pravilno.

  • Zunanje naprave ali komponente (tiskalnik, omrežna kartica, GPU itd.) ni mogoče prepoznati.

  • Aplikacije, ki je odvisna od gonilnika jedra, ni mogoče zagnati.

Ali je odgovoren pravilnik za gonilnik sistema Windows, lahko preverite tako, da preverite dnevnike dogodkov Celovitost kode na ta dva načina.

Dogodki celovitosti kode poizvedbe ročno    

  1. Z desno tipko miške kliknite gumb za začetni meni in izberite Pregledovalnik dogodkov .

  2. V levem podoknu se premaknite do: Dnevniki aplikacij in > Microsoft > Windows > CodeIntegrity > Operational

  3. Oglejte si ali filtrirajte dnevnik dogodkov s temi ID-ji:

  • ID dogodka 3076 – nadzor gonilnika je bil nadzorovan (bi bil blokiran, vendar dovoljen, ker je pravilnik v načinu nadzora).

  • ID dogodka 3077 – gonilnik je bil blokiran zaradi kršitve pravilnika za uveljavljanje.

V podrobnostih dogodka poiščite polje »ID pravilnika «. Dogodki, ki jih povzroči ta funkcija, se sklicujejo na enega od teh GUID-ov pravilnika:

  • Pravilnik nadzora : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}

  • Vsili pravilnik: {8F9CB695-5D48-48D6-A329-7202B44607E3}

Dogodki celovitosti kode poizvedbe z ogrodjem PowerShell

S storitvijo PowerShell lahko hitro poiščete dogodke, povezane s to funkcijo:

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

Podrobnosti o dogodku vključujejo ime gonilnika, ki je bil nadzorovan ali blokiran, in ime postopka, ki je poskušal naložiti gonilnik, s katerim lahko ugotovite, na kateri gonilnik ali napravo to vpliva.

Če ste uporabnik naprave ali skrbnik za IT

  1. V dnevnikih dogodkov po zgornjih navodilih preverite, kateri gonilnik je blokiran.

  2. Preverite Windows Update ali so na voljo posodobljeni gonilniki. Podpisani gonilniki, potrjeni za WHCP, so morda že na voljo prek Windows Update. Pojdite na Nastavitve > Windows Update > Dodatne možnosti > Izbirne posodobitve > posodobitve gonilnika, da preverite, ali so na voljo posodobitve gonilnikov.

  3. Obiščite spletno mesto izdelovalca . Prenesite najnovejšo različico gonilnika z uradne strani za podporo dobavitelja – novejše različice so verjetno podpisane s strani WHCP.

4. Obrnite se na prodajalca strojne ali programske opreme, ki objavi gonilnik. Vprašajte jih, ali je na voljo različica gonilnika, overjena za WHCP, in kje lahko dostopa do gonilnika. Večina dobaviteljev že potrjuje svoje gonilnike.

Če ste založnik gonilnika

Če razvijete in distribuirate gonilnike jedrnega načina za Windows, morate zagotoviti, da so gonilniki vpisani s postopkom WHCP:

  1. Pridružite se središču za razvijalce strojne opreme sistema Windows . Registrirajte se v središču za razvijalce strojne opreme sistema Windows z veljavnim potrdilom za podpisovanje kode EV (Extended Validation).

  2. Ustvarite pošiljanje . Na nadzorni plošči za strojno opremo ustvarite nov izdelek in pošljite paket gonilnikov v potrditev.

  3. Zaženite preskuse HLK . Uporabite komplet Windows Hardware Lab Kit (HLK) za izvajanje zahtevanih preskusov za vrsto gonilnika in kategorijo naprave.

  4. Pošlji v podpisovanje . Po opravljenih preskusih pošljite rezultate HLK skupaj z gonilnikom. Microsoft bo gonilnik podpisol s potrdilom WHCP.

  5. Porazdelite podpisani gonilnik . Ko ste vpisani, objavite gonilnik, potrjen za WHCP, Windows Update in/ali spletno mesto.

Pomembno: Gonilniki, podpisani le z navzkrižnimi potrdili brez potrdila WHCP, so lahko blokirani v sistemih s pravilnikom gonilnika Windows v načinu uveljavljanja.

Opozorilo: Če onemogočite to funkcijo, zmanjšate varnost naprave. Priporočamo, da gonilnike, ki jih podpišeTE WHCP, ohranite omogočeno in sodelujete z njimi, namesto tega pa pridobiti gonilnike, ki so podpisani s funkcijo WHCP.

Pravilnik gonilnika sistema Windows je podpisan pravilnik o celovitosti kode, ki je shranjen v sistemski particiji EFI in zaščiten s komponentami sistema Windows za predčasni zagon. Če funkcijo izklopite, morate ročno korakih, da zlonamerna programska oprema, ki se izvaja kot skrbnik, ne more posegati v to funkcijo:

1. korak: Onemogočite varni zagon

  1. Znova zaženite računalnik in vnesite meni z nastavitvami vdelane programske opreme vmesnika UEFI (BIOS). To lahko običajno naredite tako, da med zagonom pritisnete tipko (na primer F2 , F10 , Del ali Esc – preverite dokumentacijo izdelovalca naprave).

    1. Druga možnost je, da v sistemu Windows : pojdite na Nastavitve > System > Recovery > Advanced startup > Restart now . Nato izberite Odpravljanje težav > dodatne možnosti in > vdelane programske opreme vmesnika UEFI > ponovni zagon .

  2. V nastavitvah vdelane programske opreme poiščite možnost Varni zagon (običajno na zavihku Varnost ali Zagon).

  3. Nastavitev varnega zagona na Onemogočeno .

  4. Shranite spremembe in zaprite nastavitve vdelane programske opreme.

2. korak: Brisanje datotek pravilnika iz sistemske particije EFI

1. Odprite PowerShell kot skrbnik .

2. Namestite sistemsko particijo EFI tako, da zaženete:

mountvol S: /s

Katerokoli razpoložljivo črko pogona lahko uporabite na mestu 'S:'.

3. Izbrišite datoteko pravilnika nadzora:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

4. Če je prisoten tudi pravilnik za uveljavljanje, ga izbrišite:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

5. Preverite tudi, ali so na voljo pravilniki, in jih izbrišite iz sistemskega imenika sistema Windows:

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6. Odstranite particijo EFI:

mountvol S: /d

3. korak: Znova zaženite računalnik

Znova zaženite napravo, da bodo spremembe uveljavile. Po vnovičnem zagonu pravilnik ne bo več aktiven in vsi podpisani gonilniki , vključno s tistimi brez potrdila WHCP, bodo lahko naložiti.

4. korak: Znova omogočite varni zagon

Ko odstranite datoteke pravilnika, znova omogočite varni zagon v nastavitvah vdelane programske opreme vmesnika UEFI, da ohranite druge zaščite varnega zagona.

Funkcija se začne v načinu ocenjevanja , kjer se beleži, ne blokira pa necerificiranih gonilnikov. Ko sistem izpolnjuje merila za vrednotenje (dovolj časa za delovanje in ponovne zagone brez kršitev pravilnika), bo pravilnik samodejno prestal način uveljavljanja , gonilniki, ki niso podpisani WHCP, pa bodo blokirani. To lahko povzroči, da se gonilniki, ki so prej delovali, prenehajo nalagati.

Trenutno ni mogoče zaobiti pravilnika za posamezne gonilnike. Funkcijo lahko v celoti onemogočite (glejte zgoraj) ali – po možnosti – se obrnite na izdajatelja gonilnika in ga prosite, da priskrbi različico gonilnika, ki ga je podpisal WHCP.

Ta funkcija velja le za gonilnike jedrnega načina . Ta pravilnik ne vpliva na aplikacije v uporabniškem načinu.

To preverite tako, da v ogrodju PowerShell kot skrbnik zaženete te ukaze:

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

Da – Windows Server 2025 in novejše platforme strežnika. Vendar pa je Windows Server zagonska seja 2 vnovična zagona (v primerjavi s 3 v odjemalskih izdajah). Vsi drugi pogoji so enaki.

Če ponastavite ali znova namestite sistem Windows, se bo funkcija v načinu ocenjevanja novim zaganjala. Števci ocenjevanja bodo ponastavljeni, prehod na uveljavitev pa se bo začel znova od začetka.

Potrebujete dodatno pomoč?

Če imate še vedno težave z blokiranim gonilnikom, obiščite forume Skupnosti Microsoft Community ali se obrnite na Microsoftovo podporo .

Veseli bomo vaših povratnih informacij o tej funkciji. Če želite deliti z drugimi svojo izkušnjo:

  1. V sistemu Windows odprite Središče za povratne informacije (pritisnite Win + F ).

2. V 2. koraku – Izberite kategorijo , izberite Varnost in zasebnost in > nadzor nad aplikacijami .

Facebook LinkedIn E-pošta

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost