Windows bao gồm một tính năng bảo mật được gọi là Tính toàn vẹn Mã nhân giúp bảo vệ hệ thống của bạn bằng cách đảm bảo rằng các trình điều khiển nhân được tải trên hệ thống của bạn chạy với tính toàn vẹn và được ký bằng mã hóa bởi một cơ quan đáng tin cậy của Microsoft.
Nếu bạn thấy thông báo này, điều đó có nghĩa là phần mềm chế độ nhân hoặc trình điều khiển, không được ký đúng cách hoặc không đáp ứng các yêu cầu ký tính toàn vẹn của Mã nhân Windows.
Windows yêu cầu gửi tất cả các trình điều khiển mới và đăng nhập thông qua quy trình Chương trình Tương thích Phần cứng Windows (WHCP ). Trình điều khiển đáng tin cậy trước đây của Windows được ký bởi chương trình chéo đã hết hạn . Tuy nhiên, với bản cập nhật bảo mật tháng 4 năm 2026, các trình điều khiển này không còn được tin cậy theo mặc định. Thông báo có sẵn ở đây: https://go.microsoft.com/fwlink/?linkid=2356646.
Chính sách Trình điều khiển Windows là gì?
Chính sách Windows Driver là một chính sách trong nhân Windows hạn chế trình điều khiển chế độ nhân có thể tải trên thiết bị của bạn. Khi hoạt động, chỉ có các trình điều khiển sau đây được phép tải:
-
Trình điều khiển được ký đúng cách thông qua quy trình chứng nhận MICROSOFT WHCP
-
Trình điều khiển xuất hiện trên chính sách Windows Driver cho phép danh sách các trình điều khiển danh tiếng được ký bởi chương trình chéo
Các trình điều khiển không phải là Microsoft WHCP đã ký hoặc xuất hiện trong chính sách Trình điều khiển Windows sẽ bị chặn trong phạm vi hệ thống được kích hoạt.
Tính năng này giúp bảo vệ bạn khỏi các trình điều khiển có khả năng không an toàn hoặc chưa được kiểm tra, giảm rủi ro phần mềm có hại, tính không ổn định của hệ thống và các lỗ hổng bảo mật do các trình điều khiển và nhà xuất bản trình điều khiển chưa được công bố gây ra.
Tính năng này hoạt động như thế nào?
Chính sách Trình điều khiển Windows sử dụng phương pháp tiếp cận hai giai đoạn, chẳng hạn như Điều khiển Ứng dụng Thông minh , để tăng dần khả năng bảo vệ trên thiết bị của bạn:
Chế độ đánh giá (Kiểm tra)
Khi tính năng được kích hoạt lần đầu, nó sẽ bắt đầu trong chế độ đánh giá . Trong giai đoạn này:
-
Trình điều khiển sẽ bị chặn bởi chính sách sẽ được kiểm tra nhưng vẫn được phép tải . Điều này đảm bảo thiết bị của bạn tiếp tục hoạt động bình thường trong khi Windows xác định liệu việc thực thi có phù hợp với hệ thống của bạn hay không.
-
Windows theo dõi số lượng trình điều khiển trên hệ thống của bạn sẽ bị ảnh hưởng bởi chính sách.
-
Nếu trình điều khiển vi phạm chính sách được phát hiện trong quá trình đánh giá, tiến trình đánh giá sẽ được đặt lại . Điều này có nghĩa là thời gian đếm ngược để việc thực thi bắt đầu lại, cho phép Windows có thêm thời gian để quan sát mức sử dụng trình điều khiển của hệ thống.
Tiêu chí đánh giá
Windows giám sát các tiêu chí sau đây để xác định khi nào thiết bị của bạn sẵn sàng để thực thi:
-
Thời gian hoạt động của hệ thống : Thiết bị của bạn phải tích lũy được 100 giờ sử dụng chủ động.
-
Phiên khởi động : Thiết bị của bạn phải được khởi động lại ít nhất 3 lần (2 lần trên Windows Server) kể từ khi đánh giá bắt đầu.
-
Không vi phạm chính sách: Nếu trình điều khiển bị chặn sẽ được tải trong thời gian đánh giá, bộ đếm thời gian hoạt động và phiên khởi động sẽ được đặt lại về không, kéo dài thời gian đánh giá.
Nếu thiết bị của bạn tải liên tục các trình điều khiển vượt qua chính sách và đáp ứng các tiêu chí này, hệ thống được coi là một ứng viên tốt để thực thi.
Chế độ thực thi
Sau khi đáp ứng các tiêu chí đánh giá, Windows sẽ tự động chuyển sang chế độ thực thi . Trong giai đoạn này:
-
Thiết bị được bảo vệ chống lại trình điều khiển không đáp ứng các yêu cầu ký trong chính sách Trình điều khiển Windows.
-
Các trình điều khiển này bị chặn tải và tạo Dữ liệu Chẩn đoán cho Microsoft để xem lại và các mục nhập trong Nhật ký Sự kiện Windows mà bạn có thể xem lại.
-
Danh sách cho phép các trình điều khiển và nhà phát hành cụ thể được bao gồm trong chính sách để cho phép một số trình điều khiển thừa tự được sử dụng rộng rãi chưa được chứng nhận WHCP để tiếp tục hoạt động.
Sau khi chế độ thực thi hoạt động, chính sách vẫn có hiệu lực khi khởi động lại.
Các Câu hỏi Thường gặp
Nếu trình điều khiển bị chặn theo chính sách này, bạn có thể thấy:
-
Thiết bị phần cứng không hoạt động đúng cách.
-
Thiết bị ngoại vi hoặc cấu phần (máy in, bộ điều hợp mạng, GPU, v.v...) không được nhận dạng.
-
Một ứng dụng phụ thuộc vào trình điều khiển nhân không khởi động được.
Bạn có thể xác nhận xem chính sách Trình điều khiển Windows có chịu trách nhiệm hay không bằng cách kiểm tra nhật ký sự kiện Code Integrity bằng hai phương pháp sau đây.
Các sự kiện Tính toàn vẹn của Mã Truy vấn Theo cách thủ công
-
Bấm chuột phải vào nút Bắt đầu và chọn Trình xem sự kiện .
-
Trong ngăn bên trái, dẫn hướng đến: Nhật ký Ứng dụng và Dịch vụ > dụng trong Microsoft > Windows > Toàn vẹn Mã > hoạt
-
Tìm hoặc lọc nhật ký để biết các sự kiện có các ID này:
-
ID Sự kiện 3076 — Đã kiểm tra trình điều khiển (sẽ bị chặn nhưng đã được cho phép vì chính sách đang ở chế độ kiểm tra).
-
ID Sự kiện 3077 — Trình điều khiển bị chặn tải vì vi phạm chính sách thực thi.
Trong chi tiết sự kiện, hãy tìm trường ID Chính sách. Các sự kiện do tính năng này gây ra sẽ tham chiếu đến một trong cácGUID Chính sách sau đây:
-
Chính sách kiểm tra : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}
-
Thực thi chính sách: {8F9CB695-5D48-48D6-A329-7202B44607E3}
Sự kiện tính toàn vẹn của Mã Truy vấn với PowerShell
Bạn có thể sử dụng PowerShell để tìm nhanh các sự kiện liên quan đến tính năng này:
# Find audit events (Event ID 3076) from the Windows Driver audit policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
# Find block events (Event ID 3077) from the Windows Driver enforced policy
$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |
Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }
$results = $events | ForEach-Object {
$xml = [xml]$_.ToXml()
$data = $xml.Event.EventData.Data
[PSCustomObject]@{
TimeCreated = $_.TimeCreated
DriverName = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'
ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'
ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'
}
}
$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap
Thông tin chi tiết về sự kiện sẽ bao gồm tên của trình điều khiển đã được kiểm tra hoặc bị chặn và tên của quy trình đã cố gắng tải trình điều khiển, có thể giúp bạn xác định trình điều khiển hoặc thiết bị bị ảnh hưởng.
Nếu bạn là người dùng thiết bị hoặc người quản trị CNTT
-
Kiểm tra nhật ký sự kiện theo các bước ở trên để xác định trình điều khiển bị chặn.
-
Kiểm tra Windows Update trình điều khiển cập nhật. Các trình điều khiển đã ký, được CHỨNG NHẬN WHCP có thể đã có sẵn thông qua Windows Update. Chuyển đến Cài đặt > Windows Update > Chọn nâng cao > Cập nhật tùy chọn > cập nhật Trình điều khiển để kiểm tra các bản cập nhật trình điều khiển có sẵn.
-
Truy cập trang web của nhà sản xuất . Tải xuống phiên bản trình điều khiển mới nhất từ trang hỗ trợ chính thức của nhà cung cấp — các phiên bản mới hơn có nhiều khả năng được ký WHCP.
4. Liên hệ với nhà cung cấp phần cứng hoặc phần mềm phát hành trình điều khiển. Hỏi xem có phiên bản trình điều khiển được chứng nhận WHCP hay không và nơi truy cập vào phiên bản đó. Hầu hết các nhà cung cấp đã chứng thực WHCP trình điều khiển của họ.
Nếu bạn là nhà xuất bản trình điều khiển
Nếu bạn phát triển và phân phối trình điều khiển chế độ nhân cho Windows, bạn phải đảm bảo trình điều khiển của mình được ký thông qua quy trình WHCP:
-
Tham gia Trung tâm Phát triển Phần cứng Windows . Đăng ký tại Trung tâm Phát triển Phần cứng Windows với chứng chỉ ký mã EV (Xác thực Mở rộng) hợp lệ.
-
Tạo một bản gửi đi . Trong Bảng điều khiển Phần cứng, tạo một sản phẩm mới và gửi gói trình điều khiển của bạn để được chứng nhận.
-
Chạy các kiểm tra HLK . Sử dụng Windows Hardware Lab Kit (HLK) để chạy các kiểm tra bắt buộc cho loại trình điều khiển và danh mục thiết bị của bạn.
-
Gửi để ký . Sau khi kiểm tra vượt qua, gửi kết quả HLK của bạn cùng với gói trình điều khiển. Microsoft sẽ ký vào trình điều khiển bằng chứng chỉ WHCP.
-
Phân phối trình điều khiển đã ký . Sau khi ký, phát hành trình điều khiển được CHỨNG NHẬN WHCP thông qua Windows Update/hoặc website của bạn.
Quan trọng: Trình điều khiển chỉ được ký bằng cách sử dụng chéo chứng chỉ mà không có chứng nhận WHCP có thể bị chặn trên các hệ thống có chính sách Windows Driver ở chế độ thực thi.
Cảnh báo: Việc tắt tính năng này sẽ làm giảm bảo mật cho thiết bị của bạn. Chúng tôi khuyên bạn nên bật tính năng này và làm việc với nhà xuất bản trình điều khiển để lấy trình điều khiển được ký WHCP thay vào đó.
Chính sách Windows Driver là một chính sách tính toàn vẹn mã đã ký được lưu trữ trên Phân vùng Hệ thống EFI và được bảo vệ bởi các cấu phần khởi động sớm của Windows. Tắt tính năng này yêu cầu các bước thủ công sau đây để phần mềm độc hại chạy với tư cách là người quản trị không thể giả mạo tính năng này:
Bước 1: Tắt khởi động an toàn
-
Khởi động lại máy tính và nhập menu cài đặt vi chương trình UEFI (BIOS). Thông thường, bạn có thể thực hiện việc này bằng cách nhấn phím trong khi khởi động (chẳng hạn như F2 , F10 , Del hoặc Esc — kiểm tra tài liệu của nhà sản xuất thiết bị)
-
Ngoài ra, trong Windows: đi tới Cài đặt > System > Recovery > Advanced startup > Restart now . Sau đó, chọn Khắc phục > chọn Nâng cao > đặt Vi chương trình UEFI > lại .
-
-
Trong cài đặt vi chương trình của bạn, hãy tìm tùy chọn Khởi động An toàn (thường nằm trong tab Bảo mật hoặc Khởi động).
-
Đặt Khởi động An toàn thành Tắt .
-
Lưu thay đổi và thoát cài đặt vi chương trình.
Bước 2: Xóa các tệp chính sách khỏi Phân vùng Hệ thống EFI
1. Mở PowerShell với tư cách người quản trị .
2. Gắn phân vùng hệ thống EFI bằng cách chạy:
mountvol S: /s
Bạn có thể sử dụng bất kỳ chữ cái ổ đĩa nào có sẵn thay cho 'S:'.
3. Xóa tệp chính sách kiểm tra:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
4. Nếu chính sách thực thi cũng có, hãy xóa bỏ nó:
del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
5. Đồng thời kiểm tra và xóa các chính sách khỏi thư mục hệ thống Windows:
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip
del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip
6. Bỏ đóng phân vùng EFI:
mountvol S: /d
Bước 3: Khởi động lại máy tính của bạn
Khởi động lại thiết bị của bạn để các thay đổi có hiệu lực. Sau khi khởi động lại, chính sách sẽ không còn hoạt động và tất cả các trình điều khiển đã ký — bao gồm những trình điều khiển không có chứng nhận WHCP — sẽ được phép tải.
Bước 4: Bật lại Khởi động An toàn
Sau khi xóa các tệp chính sách, hãy bật lại Khởi động An toàn trong cài đặt vi chương trình UEFI của bạn để duy trì các tùy chọn bảo vệ Khởi động An toàn khác.
Tính năng này bắt đầu trong chế độ đánh giá, nơi tính năng ghi nhật ký nhưng không chặn trình điều khiển không được chứng thực. Sau khi hệ thống của bạn đáp ứng các tiêu chí đánh giá (đủ thời gian hoạt động và khởi động lại mà không vi phạm chính sách), chính sách sẽ tự động chuyển sang chế độ thực thi và các trình điều khiển không được ký WHCP sẽ bị chặn. Điều này có thể khiến trình điều khiển hoạt động trước đó ngừng tải.
Hiện không có cách nào để bỏ qua chính sách cho từng trình điều khiển. Bạn có thể tắt hoàn toàn tính năng này (xem ở trên) hoặc — tốt nhất là — hãy liên hệ với nhà xuất bản trình điều khiển và yêu cầu họ cung cấp phiên bản trình điều khiển được ký WHCP.
Tính năng này chỉ áp dụng cho trình điều khiển chế độ nhân . Các ứng dụng chế độ người dùng không bị ảnh hưởng bởi chính sách này.
Bạn có thể kiểm tra bằng cách chạy các lệnh sau với tư cách là người quản trị trong PowerShell:
$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }
$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }
if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }
elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }
else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }
Có - bản Windows Server 2025 và các nền tảng máy chủ mới hơn. Tuy nhiên, trên Windows Server, yêu cầu phiên khởi động là 2 lần khởi động lại (so với 3 trên phiên bản máy khách). Tất cả các tiêu chí khác đều giống nhau.
Nếu bạn đặt lại hoặc cài đặt lại Windows, tính năng này sẽ khởi động mới trong chế độ đánh giá. Các quầy đánh giá sẽ được đặt lại và quá trình chuyển sang thực thi sẽ bắt đầu lại từ đầu.
Bạn cần thêm trợ giúp?
Nếu bạn tiếp tục gặp sự cố với trình điều khiển bị chặn, vui lòng truy cập diễn đàn Microsoft Community hoặc liên hệ với bộ phận hỗ trợ của Microsoft .
Chúng tôi rất mong nhận được phản hồi của bạn về tính năng này. Để chia sẻ trải nghiệm của bạn:
-
Trong Windows, mở Hub Phản hồi (nhấn Win + F ).
2. Trong Bước 2 — Chọn một danh mục , chọn Bảo mật và Quyền riêng tư > Kiểm soát Ứng dụng .
