程式碼完整性診斷系統記錄事件

Windows Vista 和更新版本的 Windows 程式碼完整性元件會強制簽署核心模式驅動程式才能載入的需求。 Windows Vista 和更新版本的 Windows 一律會產生程式碼完整性作業事件，並選擇性地產生額外的系統稽核事件和詳細資訊診斷事件，以提供驅動程式簽署狀態的相關資訊，如下所示：

• 程式碼完整性作業記錄包含警告事件，指出核心模式驅動程式無法載入，因為無法驗證驅動程式簽章。 簽章驗證可能會因為下列原因而失敗：

  • 系統管理員已預先安裝未簽署的驅動程式，但程式碼完整性隨後封鎖載入未簽署的驅動程式。
  • 驅動程式已簽署，但簽章無效，因為驅動程式檔案已變更。
  • 從不正確的磁片磁區讀取驅動程式的檔案時，系統磁片裝置可能會發生裝置錯誤。

• 如果啟用系統稽核原則，程式碼完整性會產生系統稽核記錄事件，這些事件會對應至作業警告事件，指出驅動程式檔案的簽章驗證失敗。 預設不會啟用系統稽核原則。

• 如果已啟用程式碼完整性的詳細資訊記錄，程式碼完整性會記錄分析和偵錯事件，以提供載入核心模式驅動程式檔案之前所發生之成功驗證檢查的相關資訊。 預設不會啟用程式碼完整性的詳細資訊記錄。

您可以使用事件檢視器來檢視程式碼完整性事件，如檢視程式碼完整性事件中所述。 如需這些事件記錄檔訊息的詳細資訊，請參閱 程式碼完整性事件記錄檔訊息。

如需如何啟用系統稽核記錄和詳細資訊記錄的詳細資訊，請參閱 啟用系統事件稽核記錄。