火絨安全全系列版本核心驅(qū)動和簽名被微軟拉黑導(dǎo)致無法啟動 目前還不清楚原因

據(jù)火絨安全公眾號發(fā)布的消息，微軟在上周發(fā)布的 Windows 11 Beta Build 22621.3951 和 Build 22631.3951 中更新了易受攻擊的驅(qū)動程序阻止列表 (DriverSiPolicy.p7b)，微軟將火絨安全軟件核心驅(qū)動程序和數(shù)字簽名添加到了該列表中。

火絨安全依賴于這些核心驅(qū)動程序和數(shù)字簽名，因此在被微軟添加到驅(qū)動程序阻止列表后火絨安全軟件和火絨安全企業(yè)版都將無法正常使用。

所幸目前微軟只是向 Windows 11 測試版用戶更新了新的 DriverSiPolicy.p7b 文件，因此正式版用戶暫時還是不受影響的，火絨目前正在積極與微軟進行溝通。

易受攻擊的驅(qū)動程序阻止列表：

這是微軟制作的一份清單類文件，該文件包含大量的過時驅(qū)動程序或存在安全問題的驅(qū)動程序列表，例如此前英偉達數(shù)字簽名被黑客竊取用來簽發(fā)惡意軟件，但如果直接拉黑數(shù)字簽名會導(dǎo)致英偉達諸多軟件無法正常使用，所以微軟和英偉達都沒有在第一時間拉黑相關(guān)數(shù)字簽名。

之后微軟制作了易受攻擊的驅(qū)動程序列表用來應(yīng)對這種情況，通過 Microsoft Defender 內(nèi)存完整性檢查 (即基于虛擬化的安全 VBS) 對在列表中的、簽名的驅(qū)動程序和軟件進行針對性防御。

火絨這是什么情況：

火絨安全在預(yù)覽版更新 KB5040527 中發(fā)現(xiàn)了新版 DriverSiPolicy.p7b 文件，該文件將火絨核心驅(qū)動程序 sysdiag.sys 和 hrfwdrv.sys 以及火絨安全的數(shù)字簽名全部添加到了阻止列表。

按理說微軟應(yīng)該是收到安全通報或者與開發(fā)商進行溝通后才會更新列表，所以現(xiàn)在火絨在不知情的情況下被拉黑就讓人有些迷惑了，不知道微軟的更新流程是怎么樣的。

不過無論如何目前只是 Windows 11 測試版受影響因此潛在影響范圍非常小，后續(xù)微軟重新更新下文件刪除火絨即可，應(yīng)該不會對正式版用戶造成任何影響。

臨時解決方案：

如果用戶使用火絨安全軟件，目前受影響的話可以通過 Windows 安全中心禁用內(nèi)存完整性檢查和禁用易受攻擊的驅(qū)動程序阻止列表。

禁用這些功能后會影響系統(tǒng)的安全性，如果是企業(yè)用戶請咨詢企業(yè) IT 管理員獲取安全建議，最好由 IT 管理員決定是否可以禁用以上安全功能。