Windows, sisteminize yüklenen çekirdek sürücülerinin bütünlükle çalıştığından ve Microsoft tarafından güvenilen bir yetkili tarafından şifreli olarak imzalandığından emin olarak sisteminizi korumaya yardımcı olan çekirdek Kod Bütünlüğü adlı bir güvenlik özelliği içerir.
Bu iletiyi görüyorsanız, bir sürücü veya çekirdek modu yazılımının düzgün imzalanmadığı veya Windows çekirdek Kod Bütünlüğü imzalama gereksinimlerini karşılamadığı anlamına gelir.
Windows, tüm yeni sürücülerin Windows Donanım Uyumluluk Programı (WHCP) işlemi aracılığıyla gönderilmesini ve imzalanması gerekir. Süresi dolmuş çapraz imzalı program tarafından imzalanan Windows daha önce güvenilen sürücüler. Ancak Nisan 2026 güvenlik güncelleştirmesi ile bu sürücülere artık varsayılan olarak güvenilmez. Duyuruya buradan ulaşabilirsiniz: https://go.microsoft.com/fwlink/?linkid=2356646.
Windows Sürücü İlkesi nedir?
Windows Sürücüsü ilkesi, Windows çekirdeğinde cihazınıza hangi çekirdek modu sürücülerinin yüklenebileceğini kısıtlayan bir ilkedir. Etkin olduğunda yalnızca aşağıdaki sürücülerin yüklenmesine izin verilir:
-
Microsoft WHCP sertifikasyon işlemiyle düzgün şekilde imzalanan sürücüler
-
Windows Sürücüsü ilkesinde görünen sürücüler, çapraz imzalı program tarafından imzalanan saygın sürücülerin listesine izin verir
Microsoft WHCP imzalı olmayan veya Windows Sürücüsü ilkesinde görünen sürücüler kapsam, etkin sistemlerde engellenir.
Bu özellik, kötü amaçlı yazılım riskini, sistem dengesizliklerini ve kaldırılmamış sürücülerin ve sürücü yayımcılarının neden olduğu güvenlik açıklarını azaltarak güvenli veya test edilmemiş olabilecek sürücülerden korunmanıza yardımcı olur.
Bu özellik nasıl çalışır?
Windows Sürücüsü ilkesi, cihazınızdaki korumayı aşamalı olarak artırmak için Akıllı Uygulama Denetimi gibi iki aşamalı bir yaklaşım kullanır:
Değerlendirme modu (Denetim)
Özellik ilk kez etkinleştirildiğinde değerlendirme modunda başlar. Bu aşamada:
-
İlke tarafından engellenecek sürücüler denetleniyor ancak yine de yüklemesine izin veriliyor . Bu, Windows zorlamanın sisteminize uygun olup olmadığını belirlerken cihazınızın normal şekilde çalışmaya devam etmesini sağlar.
-
Windows, sisteminizdeki kaç sürücünün ilkeden etkileneceğini izler.
-
Değerlendirme sırasında ilkeyi ihlal edecek bir sürücü algılanırsa değerlendirme ilerleme durumu sıfırlanır . Bu, windows'a sisteminizin sürücü kullanımını gözlemlemek için daha fazla zaman vererek zorlama geri sayımının baştan başlayacağı anlamına gelir.
Değerlendirme ölçütleri
Windows, cihazınızın zorlamaya ne zaman hazır olduğunu belirlemek için aşağıdaki ölçütleri izler:
-
Sistem çalışma süresi : Cihazınızın 100 saatlik etkin kullanım birikmiş olması gerekir.
-
Önyükleme oturumları : Değerlendirme başladıktan sonra cihazınız en az 3 kez (Windows Server 2 kez) yeniden başlatılmış olmalıdır.
-
İlke ihlali yok : Değerlendirme döneminde engellenecek bir sürücü yüklenirse, çalışma süresi ve önyükleme oturumu sayaçları sıfırlanır ve değerlendirme süresi uzatılır.
Cihazınız ilkeyi geçen ve bu ölçütleri karşılayan sürücüleri tutarlı bir şekilde yüklerse, sistem zorlama için iyi bir aday olarak kabul edilir.
Zorlama modu
Değerlendirme ölçütleri karşılandığında, Windows otomatik olarak zorlama moduna geçer. Bu aşamada:
-
Cihazlar, Windows Sürücüsü ilkesindeki imzalama gereksinimlerini karşılamayan sürücülere karşı korunur.
-
Bu sürücülerin Microsoft'un gözden geçirmesi için Tanılama Verilerini ve gözden geçirebileceğiniz Windows Olay Günlüğü girdilerini yüklemesi ve oluşturması engellenir.
-
İlkeye, henüz WHCP sertifikalı olmayan bazı yaygın olarak kullanılan eski sürücülerin çalışmaya devam etmelerine izin vermek için belirli sürücülerin ve yayımcıların izin verilenler listesi dahildir.
Zorlama modu etkin olduğunda, ilke yeniden başlatmalar arasında etkin kalır.
Sık Sorulan Sorular
Bir sürücü bu ilke tarafından engellenmişse şunları görebilirsiniz:
-
Donanım cihazı düzgün çalışmıyor.
-
Çevre birimi veya bileşen (yazıcı, ağ bağdaştırıcısı, GPU vb.) tanınmaz.
-
Çekirdek sürücüsüne bağlı bir uygulama başlatılamıyor.
Aşağıdaki iki yöntemi kullanarak Kod Bütünlüğü olay günlüklerini denetleyerek Windows Sürücüsü ilkesinin sorumlu olup olmadığını onaylayabilirsiniz.
Kod Bütünlüğü olaylarını El ile Sorgulama
-
Başlangıç düğmesine sağ tıklayın ve Olay Görüntüleyicisi öğesini seçin.
-
Sol bölmede şu sayfaya gidin: Microsoft > Windows > CodeIntegrity > Operasyonel > Uygulamalar ve Hizmet Günlükleri
-
Bu kimliklere sahip olaylar için günlüğe bakın veya günlüğü filtreleyin:
-
Olay Kimliği 3076 — Bir sürücü denetlendi (ilke denetim modunda olduğundan engellenmiş ancak izin veriliyordu).
-
Olay Kimliği 3077 — Bir sürücünün yüklenmesi zorlama ilkesini ihlal ettiği için engellendi .
Olay ayrıntılarında İlke Kimliği alanını arayın. Bu özelliğin neden olduğu olaylar aşağıdaki İlke GUID'lerinden birine başvurur:
-
Denetim ilkesi : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}
-
İlkeyi zorunlu kılma : {8F9CB695-5D48-48D6-A329-7202B44607E3}
PowerShell ile Kod Bütünlüğü olaylarını sorgulama
Bu özellikle ilgili olayları hızla bulmak için PowerShell'i kullanabilirsiniz:
# Find audit events (Event ID 3076) from the Windows Driver audit policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
# Find block events (Event ID 3077) from the Windows Driver enforced policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
Olay ayrıntıları, denetlenen veya engellenen sürücünün adını ve hangi sürücünün veya cihazın etkilendiğini belirlemenize yardımcı olabilecek sürücüyü yüklemeye çalışan işlemin adını içerir.
Cihaz kullanıcısı veya BT yöneticisiyseniz
-
Engellenen sürücüyü belirlemek için yukarıdaki adımları kullanarak olay günlüklerini denetleyin.
-
Güncelleştirilmiş sürücüler için Windows Update denetleyin. WHCP sertifikalı, imzalı sürücüler Windows Update aracılığıyla zaten kullanılabilir. Kullanılabilir sürücü güncelleştirmelerini denetlemek için Ayarlar > Windows Update > Gelişmiş seçenekler > İsteğe bağlı güncelleştirmeler > Sürücü güncelleştirmeleri'ne gidin.
-
Üreticinin web sitesini ziyaret edin . Satıcının resmi destek sayfasından en son sürücü sürümünü indirin; daha yeni sürümlerin WHCP imzalı olma olasılığı daha yüksektir.
4. Sürücüyü yayımlayan donanım veya yazılım satıcısına başvurun . Sürücünün WHCP sertifikalı sürümünün kullanılabilir olup olmadığını ve bu sürüme nereden erişeceklerini sorun. Çoğu satıcı zaten WHCP sürücülerini onaylar.
Sürücü yayımcısıysanız
Windows için çekirdek modu sürücüleri geliştirir ve dağıtırsanız, sürücülerinizin WHCP işlemiyle imzalandığından emin olmanız gerekir:
-
Windows Donanım Geliştirme Merkezi'ne katılın . Geçerli bir EV (Genişletilmiş Doğrulama) kod imzalama sertifikasıyla Windows Donanım Geliştirme Merkezi'ne kaydolun.
-
Bir gönderim oluşturun . Donanım Panosu'nda yeni bir ürün oluşturun ve sürücü paketinizi sertifikasyon için gönderin.
-
HLK testlerini çalıştırın . Sürücü türünüz ve cihaz kategoriniz için gerekli testleri çalıştırmak için Windows Donanım Laboratuvar Seti'ni (HLK) kullanın.
-
İmzalama için gönderin . Testler geçtikten sonra HLK sonuçlarınızı sürücü paketiyle birlikte gönderin. Microsoft, sürücüyü WHCP sertifikasıyla imzalar.
-
İmzalı sürücüyü dağıtın . İmzaladıktan sonra WHCP sertifikalı sürücüyü Windows Update ve/veya web siteniz aracılığıyla yayımlayın.
Önemli: Yalnızca WHCP sertifikası olmadan çapraz sertifikalar kullanılarak imzalanan sürücüler, Zorlama modunda Windows Sürücüsü ilkesine sahip sistemlerde engellenebilir.
Uyarı: Bu özelliği devre dışı bırakmak cihazınızın güvenliğini azaltır. Bunun yerine, WHCP ile imzalanan sürücüleri almak için etkin tutmanızı ve sürücü yayımcılarıyla birlikte çalışmanızı öneririz.
Windows Sürücüsü ilkesi, EFI Sistem Bölümünde depolanan ve Windows erken önyükleme bileşenleri tarafından korunan imzalı bir Kod Bütünlüğü ilkesidir. Yönetici olarak çalışan kötü amaçlı yazılımların bu özelliği değiştirememesi için özelliğin kapatılması için aşağıdaki el ile uygulanan adımlar gerekir:
1. Adım: Güvenli Önyüklemeyi Devre Dışı Bırakma
-
Bilgisayarınızı yeniden başlatın ve UEFI üretici yazılımı ayarları menüsüne (BIOS) girin. Bunu genellikle önyükleme sırasında bir tuşa basarak ( F2 , F10 , Del veya Esc gibi) yapabilirsiniz; cihaz üreticinizin belgelerine bakın)
-
Alternatif olarak, Windows'ta: Ayarlar > Sistem > Kurtarma > Gelişmiş başlangıç > Şimdi yeniden başlat seçeneğine gidin. Ardından UEFI Üretici Yazılımı Ayarları > Gelişmiş seçenekler > Sorun Giderme'yi > Yeniden Başlat'ı seçin.
-
-
Üretici yazılımı ayarlarınızda Güvenli Önyükleme seçeneğini bulun (genellikle Güvenlik veya Önyükleme sekmesinin altında).
-
Güvenli Önyükleme'yi Devre Dışı olarak ayarlayın.
-
Değişiklikleri kaydedin ve üretici yazılımı ayarlarından çıkın.
2. Adım: İlke dosyalarını EFI Sistem Bölümünden silme
1. PowerShell'i yönetici olarak açın.
2. Çalıştırarak EFI Sistem Bölümünü bağlayın:
mountvol S: /s
'S:' yerine kullanılabilir herhangi bir sürücü harfi kullanabilirsiniz.
3. Denetim ilkesi dosyasını silin:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
4. Zorlama ilkesi de varsa silin:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
5. Ayrıca windows sistem dizinindeki ilkeleri denetleyin ve silin:
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
6. EFI bölümünü çıkarın:
mountvol S: /d
3. Adım: Bilgisayarınızı yeniden başlatın
Değişikliklerin uygulanması için cihazınızı yeniden başlatın. Yeniden başlatma sonrasında ilke artık etkin olmayacak ve WHCP sertifikası olmayanlar da dahil olmak üzere tüm imzalı sürücülerin yüklenmesine izin verilecektir.
4. Adım: Güvenli Önyüklemeyi Yeniden Etkinleştirme
İlke dosyalarını kaldırdıktan sonra, diğer Güvenli Önyükleme korumalarını korumak için UEFI üretici yazılımı ayarlarınızda Güvenli Önyükleme'yi yeniden etkinleştirin.
Özellik değerlendirme modunda başlar ve burada günlüğe kaydeder ancak sertifikasız sürücüleri engellemez. Sisteminiz değerlendirme ölçütlerini karşıladıktan sonra (yeterli çalışma süresi ve ilke ihlali olmadan yeniden başlatma), ilke otomatik olarak zorlama moduna geçer ve WHCP imzalı olmayan sürücüler engellenir. Bu, daha önce çalışan sürücülerin yüklemeyi durdurmasına neden olabilir.
Şu anda tek tek sürücüler için ilkeyi atlamanın bir yolu yoktur. Özelliği tamamen devre dışı bırakabilir (yukarıya bakın) veya tercihen sürücü yayımcısına başvurabilir ve sürücülerinin WHCP imzalı bir sürümünü sağlamasını isteyebilirsiniz.
Bu özellik yalnızca çekirdek modu sürücüleri için geçerlidir. Kullanıcı modu uygulamaları bu ilkeden etkilenmez.
Aşağıdaki komutları PowerShell'de yönetici olarak çalıştırarak de kontrol edebilirsiniz:
$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }
$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }
if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }
elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }
else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }
Evet - Windows Server 2025 ve daha yeni sunucu platformları. Ancak, Windows Server önyükleme oturumu gereksinimi 2 yeniden başlatmadır (istemci sürümlerinde 3'e kıyasla). Diğer tüm ölçütler aynıdır.
Windows'ı sıfırlar veya yeniden yüklerseniz, özellik değerlendirme modunda yeni bir başlangıç yapacaktır. Değerlendirme sayaçları sıfırlanır ve zorlamaya geçiş baştan başlar.
Daha fazla yardım mı gerekiyor?
Engellenen bir sürücüyle ilgili sorun yaşamaya devam ederseniz lütfen Microsoft Topluluğu forumlarını ziyaret edin veya Microsoft desteğine başvurun .
Bu özellik hakkındaki geri bildirimlerinizi çok isteriz. Deneyiminizi paylaşmak için:
-
Windows'da Geri Bildirim Merkezi'ni açın ( Win + F tuşlarına basın).
2. 2. Adım : Kategori seçin bölümünde Güvenlik ve Gizlilik > Uygulama Denetimi'ni seçin.
