代码完整性诊断系统日志事件
Windows Vista 和更高版本的 Windows 的代码完整性组件强制要求对内核模式驱动程序进行签名才能加载。 Windows Vista 和更高版本的 Windows 始终生成代码完整性操作事件,并选择性地生成其他系统审核事件和详细诊断事件,这些事件提供有关驱动程序签名状态的信息,如下所示:
代码完整性操作日志包含警告事件,这些事件指示由于无法验证驱动程序签名而无法加载内核模式驱动程序。 签名验证可能由于以下原因而失败:
- 管理员预安装了未签名的驱动程序,但代码完整性随后阻止加载未签名的驱动程序。
- 驱动程序已签名,但签名无效,因为驱动程序文件已更改。
- 从错误的磁盘扇区读取驱动程序的文件时,系统磁盘设备可能会出现设备错误。
如果启用了系统审核策略,则代码完整性将生成系统审核日志事件,这些事件对应于指示驱动程序文件的签名验证失败的操作警告事件。 默认情况下不启用系统审核策略。
如果启用了代码完整性的详细日志记录,则代码完整性会记录分析和调试事件,这些事件提供有关加载内核模式驱动程序文件之前发生的成功验证检查的信息。 默认情况下,不启用代码完整性的详细日志记录。
可以使用 事件查看器 来查看代码完整性事件,如查看代码完整性事件中所述。 有关这些事件日志消息的详细信息,请参阅 代码完整性事件日志消息。
有关如何启用系统审核日志和详细日志记录的详细信息,请参阅 启用系统事件审核日志。