Codeintegritätsdiagnosesystemprotokollereignisse

Die Codeintegritätskomponente von Windows Vista und höheren Versionen von Windows erzwingt die Anforderung, dass Kernelmodustreiber zum Laden signiert werden. Windows Vista und höhere Versionen von Windows generieren immer Betriebsereignisse der Codeintegrität und generieren optional zusätzliche Systemüberwachungsereignisse und ausführliche Diagnoseereignisse, die Informationen über die status der Treibersignatur bereitstellen, wie folgt:

  • Das Betriebsprotokoll der Codeintegrität enthält Warnereignisse, die darauf hinweisen, dass ein Kernelmodustreiber nicht geladen werden konnte, da die Treibersignatur nicht überprüft werden konnte. Die Signaturüberprüfung kann aus den folgenden Gründen fehlschlagen:

    • Ein Administrator hat einen nicht signierten Treiber vorinstalliert, aber Codeintegrität blockierte anschließend das Laden des nicht signierten Treibers.
    • Der Treiber ist signiert, aber die Signatur ist ungültig, da die Treiberdatei geändert wurde.
    • Das Systemdatenträgergerät kann Gerätefehler beim Lesen der Datei für den Treiber aus fehlerhaften Datenträgersektoren aufweisen.
  • Wenn die Systemüberwachungsrichtlinie aktiviert ist, generiert die Codeintegrität Systemüberwachungsprotokollereignisse, die den Betriebswarnungsereignissen entsprechen, die darauf hinweisen, dass die Signaturüberprüfung der Treiberdatei fehlgeschlagen ist. Die Systemüberwachungsrichtlinie ist standardmäßig nicht aktiviert.

  • Wenn die ausführliche Protokollierung für Die Codeintegrität aktiviert ist, protokolliert Codeintegrität Analyse- und Debugereignisse, die Informationen zu erfolgreichen Überprüfungsprüfungen bereitstellen, die vor dem Laden von Kernelmodustreiberdateien durchgeführt werden. Die ausführliche Protokollierung für Codeintegrität ist standardmäßig nicht aktiviert.

Sie können Ereignisanzeige verwenden, um Codeintegritätsereignisse anzuzeigen, wie unter Anzeigen von Codeintegritätsereignissen beschrieben. Weitere Informationen zu diesen Ereignisprotokollmeldungen finden Sie unter Codeintegritätsereignisprotokollmeldungen.

Weitere Informationen zum Aktivieren des Systemüberwachungsprotokolls und der ausführlichen Protokollierung finden Sie unter Aktivieren des Systemereignisüberwachungsprotokolls.