网络第5域

火绒安全全系列版本核心驱动和签名被微软拉黑导致无法启动 目前还不清楚原因

字号+作者: 来源:蓝点网 2024-07-16 20:11 评论(创建话题) 收藏成功收藏本文

据火绒安全公众号发布的消息,微软在上周发布的Windows11BetaBuild22621.3951和Build22631.3951中更新了易受攻击的驱动程序阻止列表(DriverSiPolicy.p7b'...

据火绒安全公众号发布的消息,微软在上周发布的Windows11BetaBuild22621.3951和Build22631.3951中更新了易受攻击的驱动程序阻止列表(DriverSiPolicy.p7b),微软将火绒安全软件核心驱动程序和数字签名添加到了该列表中。scC品论天涯网

火绒安全依赖于这些核心驱动程序和数字签名,因此在被微软添加到驱动程序阻止列表后火绒安全软件和火绒安全企业版都将无法正常使用。scC品论天涯网

所幸目前微软只是向Windows11测试版用户更新了新的DriverSiPolicy.p7b文件,因此正式版用户暂时还是不受影响的,火绒目前正在积极与微软进行沟通。scC品论天涯网

scC品论天涯网

易受攻击的驱动程序阻止列表:scC品论天涯网

这是微软制作的一份清单类文件,该文件包含大量的过时驱动程序或存在安全问题的驱动程序列表,例如此前英伟达数字签名被黑客窃取用来签发恶意软件,但如果直接拉黑数字签名会导致英伟达诸多软件无法正常使用,所以微软和英伟达都没有在第一时间拉黑相关数字签名。scC品论天涯网

之后微软制作了易受攻击的驱动程序列表用来应对这种情况,通过MicrosoftDefender内存完整性检查(即基于虚拟化的安全VBS)对在列表中的、签名的驱动程序和软件进行针对性防御。scC品论天涯网

火绒这是什么情况:scC品论天涯网

火绒安全在预览版更新KB5040527中发现了新版DriverSiPolicy.p7b文件,该文件将火绒核心驱动程序sysdiag.sys和hrfwdrv.sys以及火绒安全的数字签名全部添加到了阻止列表。scC品论天涯网

按理说微软应该是收到安全通报或者与开发商进行沟通后才会更新列表,所以现在火绒在不知情的情况下被拉黑就让人有些迷惑了,不知道微软的更新流程是怎么样的。scC品论天涯网

不过无论如何目前只是Windows11测试版受影响因此潜在影响范围非常小,后续微软重新更新下文件删除火绒即可,应该不会对正式版用户造成任何影响。scC品论天涯网

临时解决方案:scC品论天涯网

如果用户使用火绒安全软件,目前受影响的话可以通过Windows安全中心禁用内存完整性检查和禁用易受攻击的驱动程序阻止列表。scC品论天涯网

禁用这些功能后会影响系统的安全性,如果是企业用户请咨询企业IT管理员获取安全建议,最好由IT管理员决定是否可以禁用以上安全功能。scC品论天涯网

对了,蓝点网也检查了目前属于正式版的DriverSiPolicy.p7b文件,该文件近期没有更新,里面也不包含火绒相关的阻止清单,企业IT管理员仍然可以继续使用该文件提高企业设备安全性。scC品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]