События системного журнала диагностики целостности кода
Компонент целостности кода Windows Vista и более поздних версий Windows принудительно требует, чтобы драйверы в режиме ядра были подписаны для загрузки. Windows Vista и более поздние версии Windows всегда создают операционные события целостности кода и при необходимости создают дополнительные события аудита системы и подробные диагностические события, предоставляющие сведения о состоянии подписывания драйвера, как показано ниже.
Операционный журнал целостности кода содержит события предупреждений, указывающие на то, что не удалось загрузить драйвер в режиме ядра, так как не удалось проверить подпись драйвера. Проверка подписи может завершиться ошибкой по следующим причинам:
- Администратор предустановил неподписанный драйвер, но впоследствии целостность кода заблокировала загрузку неподписанного драйвера.
- Драйвер подписан, но подпись недопустима, так как файл драйвера был изменен.
- Системное дисковое устройство может иметь ошибки при чтении файла для драйвера из поврежденных секторов диска.
Если политика аудита системы включена, целостность кода создает события журнала аудита системы, соответствующие событиям предупреждений о работе, которые указывают на сбой проверки сигнатуры файла драйвера. Политика аудита системы не включена по умолчанию.
Если подробное ведение журнала для целостности кода включено, целостность кода регистрирует аналитические и отладочные события, которые предоставляют сведения об успешных проверках, которые выполняются до загрузки файлов драйверов в режиме ядра. Подробное ведение журнала для целостности кода не включено по умолчанию.
Вы можете использовать Просмотр событий для просмотра событий целостности кода, как описано в разделе Просмотр событий целостности кода. Дополнительные сведения об этих сообщениях журнала событий см. в разделе Сообщения журнала событий целостности кода.
Дополнительные сведения о включении журнала аудита системы и подробного ведения журнала см. в разделе Включение журнала аудита системных событий.