Windows预览补丁影响火绒驱动加载的问题说明
本帖最后由 huoronganquan 于 2024-7-19 13:41 编辑尊敬的火绒用户:
大家好,近期我们收到多位用户反馈火绒安全软件服务异常的问题,经火绒工程师排查确认,微软于7 月 11 日更新的Windows 11 预览版本补丁 KB5040527 安装后,会影响火绒驱动加载,导致火绒安全软件服务异常,受影响的产品包括火绒安全软件5.0、6.0、火绒安全企业版1.0终端、2.0终端,补丁相关信息如下:
https://blogs.windows.com/windows-insider/2024/07/11/releasing-windows-11-builds-22621-3951-and-22631-3951-to-the-release-preview-channel/
该补丁更新了系统文件DriverSiPolicy.p7b,文件路径为C:\Windows\System32\CodeIntegrity\driversipolicy.p7b,相关更新信息如下:
DriverSiPolicy.p7b)] This update adds to the list of drivers that are at risk for Bring Your Own Vulnerable Driver (BYOVD) attacks.
DriverSiPolicy.p7b 是一个规则文件。Windows Defender 的“Microsoft 易受攻击的驱动程序阻止列表”功能会使用这个规则文件,阻止满足规则的驱动程序启动。
该功能说明见微软官网链接Microsoft 推荐的驱动程序阻止规则。DriverSiPolicy.p7b 是一个二进制文件,可以通过工具转为原始XML规则进行查看。KB5040527补丁更新的driversipolicy.p7b文件转为XML之后,信息如下:
根据实际测试结果,微软技术支持页面的相关描述,和对该XML字段的解读。可以确认火绒的驱动相关程序sysdiag和hrfwdrw.sys全版本被加入到阻止列表,并且火绒数字签名也被加入到阻止列表。
火绒工程师通过更新补丁复现该问题,得到两个版本的driversipolicy.p7b文件。其中一个文件拉黑了sysdiag.sys、hrfwdrv.sys的版本和火绒的数字签名信息,另一个文件仅拉黑了火绒的数字签名信息。而结果都是更新KB5040527补丁后火绒驱动无法启动。目前我们正在积极与微软沟通,若您在使用过程中出现此问题,请参考以下方案解决。
临时解决方案
1.进入Windows安全中心,找到设备安全性,点击内核隔离功能下的内核隔离详细信息链接。
2.关闭“Microsoft 易受攻击的驱动程序阻止列表”功能后重启系统即可解决。
若以上方式不适用于您的设备,需要按照以下步骤卸载相关补丁:
1. Win+R打开运行窗口,输入control后点击确定打开控制面板。
2. 选择程序(又称程序和功能)。
3. 选择查看已安装的更新。
4. 卸载KB5040527补丁后重启系统。
若以上方法均无法解决您的问题,请及时与我们联系,感谢您对火绒的支持!
火绒运营团队2024年7月16日
最新进展:
经过与微软沟通,win11 24H2 26100.1330版本已修复了预览补丁影响火绒驱动加载的问题。您可以在“Windows更新”中检测升级更新后即可解决此问题;
若设备暂无更新提示,可按照上文提到的方法解决,若上文提到的方法不适用于您,您可以在注册表位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config,通过将VulnerableDriverBlocklistEnable注册表键值数据改为0来关闭“Microsoft 易受攻击的驱动程序阻止列表”功能。
修改前注册表键值:
修改后注册表键值:
过程中遇到任何问题可以随时联系我们,感谢您的理解。
火绒运营团队2024年7月19日 坐沙发{:6_192:}慢慢看{:6_191:} 本帖最后由 凯文0611 于 2024-7-16 19:02 编辑
为什么我的Windows11没有检测到这个更新呢?是只有加入预览体验计划才能检测到吗? 凯文0611 发表于 2024-7-16 19:00
为什么我的Windows11没有检测到这个更新呢?是只有加入预览体验计划才能检测到吗? ...
暂时只有24H2会有这个补丁 今天看蓝点网上面提到了这件事情:https://mp.weixin.qq.com/s/K_pHiQ59lU1O17znI5EJRQ 经实测,Windows 11 Canary 版本 Dev 内部版本 27686中火绒相关驱动被阻止 请问,按以上步骤操作后仍然异常怎么办呢? EE-MAKER 发表于 2024-8-29 21:37
请问,按以上步骤操作后仍然异常怎么办呢?
麻烦留下您的联系方式协助您看下~ 火绒运营专员 发表于 2024-8-30 09:04
麻烦留下您的联系方式协助您看下~
QQ:3993412058 EE-MAKER 发表于 2024-8-30 13:39
QQ:3993412058
已添加您~ EE-MAKER 发表于 2024-8-29 21:37
请问,按以上步骤操作后仍然异常怎么办呢?
您好,您的问题已在QQ协助您解决,感谢您的反馈~ 火绒运营专员 发表于 2024-8-30 15:28
您好,您的问题已在QQ协助您解决,感谢您的反馈~
我的也不行 suluck 发表于 2024-9-1 13:44
我的也不行
您好,您是按照上面步骤操作无法解决嘛?您的系统版本和火绒版本是多少呀? 火绒运营专员 发表于 2024-9-1 14:05
您好,您是按照上面步骤操作无法解决嘛?您的系统版本和火绒版本是多少呀? ...
火绒5.0.75.11,
按以上的办法也不行
版本 Windows 11 专业版 Insider Preview
版本号 Dev
安装日期 2024/9/1
评估到期日期 2025/9/16 5:16
操作系统版本 27695.1000
功能包 Windows Feature Experience Pack 1000.26100.19.0
suluck 发表于 2024-9-1 14:33
火绒5.0.75.11,
按以上的办法也不行
版本 Windows 11 专业版 Insider Preview
您好,方便留一下您的QQ或者简单描述下是哪个步骤操作后无法操作还是操作后无效呢?