转载于:https://www.huorong.cn/info/17211230751173.html
Windows预览补丁影响火绒驱动加载的问题说明
尊敬的火绒用户:
大家好,近期我们收到多位用户反馈火绒安全软件服务异常的问题,经火绒工程师排查确认,微软于 7 月 11 日更新的Windows 11 预览版本补丁 KB5040527 安装后,会影响火绒驱动加载,导致火绒安全软件服务异常,受影响的产品包括火绒安全软件5.0、6.0、火绒安全企业版1.0终端、2.0终端,补丁相关信息如下:
该补丁更新了系统文件DriverSiPolicy.p7b,文件路径为C:\Windows\System32\CodeIntegrity\driversipolicy.p7b,相关更新信息如下:
[Windows Kernel Vulnerable Driver Blocklist file (DriverSiPolicy.p7b)] This update adds to the list of drivers that are at risk for Bring Your Own Vulnerable Driver (BYOVD) attacks.
DriverSiPolicy.p7b 是一个规则文件。Windows Defender 的“Microsoft 易受攻击的驱动程序阻止列表”功能会使用这个规则文件,阻止满足规则的驱动程序启动![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.anquan114.com/wp-content/themes/zibll/img/thumbnail-lg.svg)
![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.huorong.cn/d/file/2024-07-16/b9dfcf94de382c2f0d418eb20aee654a.png)
该功能说明见微软官网链接https://learn.microsoft.com/zh-cn/windows/security/application-security/application-control/windows-defender-application-control/design/microsoft-recommended-driver-block-rules。DriverSiPolicy.p7b 是一个二进制文件,可以通过工具转为原始XML规则进行查看。KB5040527补丁更新的driversipolicy.p7b文件转为XML之后,信息如下:
![图片[2]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.huorong.cn/d/file/2024-07-16/fa8c9450d322bc40e74ab2117fd7d166.png)
![图片[3]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.huorong.cn/d/file/2024-07-16/3816433782258914ae9833a45a86fa48.png)
![图片[4]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.huorong.cn/d/file/2024-07-16/3148ccab8cd80e09746ccd420495907e.png)
根据实际测试结果,微软技术支持页面的相关描述,和对该XML字段的解读。可以确认火绒的驱动相关程序sysdiag和hrfwdrw.sys全版本被加入到阻止列表,并且火绒数字签名也被加入到阻止列表。
火绒工程师通过更新补丁复现该问题,得到两个版本的driversipolicy.p7b文件。其中一个文件拉黑了sysdiag.sys、hrfwdrv.sys的版本和火绒的数字签名信息,另一个文件仅拉黑了火绒的数字签名信息。而结果都是更新KB5040527补丁后火绒驱动无法启动。目前我们正在积极与微软沟通,若您在使用过程中出现此问题,请参考以下方案解决。
临时解决方案
1.进入Windows安全中心,找到设备安全性,点击内核隔离功能下的内核隔离详细信息链接。
![图片[5]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.huorong.cn/d/file/2024-07-16/e140564d28d3ad70357073351167d02b.png)
2.关闭“Microsoft 易受攻击的驱动程序阻止列表”功能后重启系统即可解决。
![图片[6]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.huorong.cn/d/file/2024-07-16/6a395bd951ef3be9882df9d705de53a7.png)
若以上方式不适用于您的设备,需要按照以下步骤卸载相关补丁:
1.Win+R打开运行窗口,输入control后点击确定打开控制面板。
![图片[7]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.huorong.cn/d/file/2024-07-16/01248d92583230d935cd4b47885916c7.png)
2.选择程序(又称程序和功能)。
![图片[8]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.huorong.cn/d/file/2024-07-16/fe6e64ae74959d0b07cfd992eb8628e5.png)
3.选择查看已安装的更新。
![图片[9]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.huorong.cn/d/file/2024-07-16/da0a2059450c25ca2897bc020d36384c.png)
4.卸载KB5040527补丁后重启系统。
![图片[10]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科利合信诺 | Windows预览补丁影响火绒驱动加载的问题说明安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页](https://www.huorong.cn/d/file/2024-07-16/84be9395a5e301fe58e19e6060dd35f2.png)
若以上方法均无法解决您的问题,请及时与我们联系,感谢您对火绒的支持!
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容