据火绒安全公众号发布的消息,微软在上周发布的 Windows 11 Beta Build 22621.3951 和 Build 22631.3951 中更新了易受攻击的驱动程序阻止列表 (DriverSiPolicy.p7b),微软将火绒安全软件核心驱动程序和数字签名添加到了该列表中。
火绒安全依赖于这些核心驱动程序和数字签名,因此在被微软添加到驱动程序阻止列表后火绒安全软件和火绒安全企业版都将无法正常使用。
所幸目前微软只是向 Windows 11 测试版用户更新了新的 DriverSiPolicy.p7b 文件,因此正式版用户暂时还是不受影响的,火绒目前正在积极与微软进行沟通。
易受攻击的驱动程序阻止列表:
这是微软制作的一份清单类文件,该文件包含大量的过时驱动程序或存在安全问题的驱动程序列表,例如此前英伟达数字签名被黑客窃取用来签发恶意软件,但如果直接拉黑数字签名会导致英伟达诸多软件无法正常使用,所以微软和英伟达都没有在第一时间拉黑相关数字签名。
之后微软制作了易受攻击的驱动程序列表用来应对这种情况,通过 Microsoft Defender 内存完整性检查 (即基于虚拟化的安全 VBS) 对在列表中的、签名的驱动程序和软件进行针对性防御。
火绒这是什么情况:
火绒安全在预览版更新 KB5040527 中发现了新版 DriverSiPolicy.p7b 文件,该文件将火绒核心驱动程序 sysdiag.sys 和 hrfwdrv.sys 以及火绒安全的数字签名全部添加到了阻止列表。
按理说微软应该是收到安全通报或者与开发商进行沟通后才会更新列表,所以现在火绒在不知情的情况下被拉黑就让人有些迷惑了,不知道微软的更新流程是怎么样的。
不过无论如何目前只是 Windows 11 测试版受影响因此潜在影响范围非常小,后续微软重新更新下文件删除火绒即可,应该不会对正式版用户造成任何影响。
临时解决方案:
如果用户使用火绒安全软件,目前受影响的话可以通过 Windows 安全中心禁用内存完整性检查和禁用易受攻击的驱动程序阻止列表。
禁用这些功能后会影响系统的安全性,如果是企业用户请咨询企业 IT 管理员获取安全建议,最好由 IT 管理员决定是否可以禁用以上安全功能。
对了,蓝点网也检查了目前属于正式版的 DriverSiPolicy.p7b 文件,该文件近期没有更新,里面也不包含火绒相关的阻止清单,企业 IT 管理员仍然可以继续使用该文件提高企业设备安全性。