附錄 3:啟用程式代碼完整性事件記錄和系統稽核
程式代碼完整性是實作驅動程式簽章驗證的核心模式元件。 它會產生與映像驗證相關的系統事件,並在程式代碼完整性記錄檔中記錄資訊:
程式代碼完整性作業記錄檢視只會顯示影像驗證錯誤事件。
程式碼完整性詳細日誌檢視顯示成功簽章驗證的事件。
以下程序顯示如何啟用程式碼完整性詳細事件記錄,以查看所有成功的操作系統載入器和內核模式映像驗證事件:
若要啟用詳細信息記錄,請遵循下列步驟:
開啟提升權限的命令提示字元視窗。
在命令行上執行 Eventvwr.exe。
在 [事件查看器] 左窗格中的 [事件查看器] 資料夾底下,展開下列子資料夾順序:
應用程式和服務記錄
Microsoft
Windows
展開 程式代碼完整性 子資料夾以顯示其在 Windows 資料夾中的內容功能表。
選擇檢視。
選取 [顯示分析和偵錯記錄。 事件查看器接著會顯示子樹,其中包含 Operational 資料夾和 Verbose 資料夾。
按一下滑鼠右鍵 詳細資訊,然後從快捷選單中選取 屬性。
選取 [屬性] 對話方塊上的 [一般] 索引標籤,然後選取屬性頁中間附近的 [啟用記錄] 選項。 這會啟用詳細日誌記錄。
重新啟動計算機,變更才會生效。
系統事件記錄也可以啟用,其中包括程式代碼完整性映像驗證失敗事件。 當 Windows 核心因為簽章失敗而無法載入驅動程式時,就會產生這些事件。 程式代碼完整性作業事件記錄檔檢視中也會記錄類似的事件
若要啟用安全性稽核策略以擷取稽核記錄中的負載失敗,請遵循下列步驟:
開啟提升權限的命令提示字元視窗。 若要開啟提升權限的命令提示字元視窗,請建立桌面快捷方式以 Cmd.exe,以滑鼠右鍵按兩下 Cmd.exe 快捷方式,然後選取 [以系統管理員身分執行 。
在提升許可權的 [命令提示字元] 視窗中,執行下列命令:
Auditpol /set /Category:System /failure:enable重新啟動計算機,變更才會生效。
下列螢幕快照顯示如何使用 Auditpol 來啟用安全性稽核。
