Windows预览补丁影响火绒驱动加载的问题说明

尊敬的火绒用户：

大家好，近期我们收到多位用户反馈火绒安全软件服务异常的问题，经火绒工程师排查确认，微软于 7 月 11 日更新的Windows 11 预览版本补丁 KB5040527 安装后，会影响火绒驱动加载，导致火绒安全软件服务异常，受影响的产品包括火绒安全软件5.0、6.0、火绒安全企业版1.0终端、2.0终端，补丁相关信息如下：

https://blogs.windows.com/windows-insider/2024/07/11/releasing-windows-11-builds-22621-3951-and-22631-3951-to-the-release-preview-channel/

该补丁更新了系统文件DriverSiPolicy.p7b，文件路径为C:\Windows\System32\CodeIntegrity\driversipolicy.p7b，相关更新信息如下：

[Windows Kernel Vulnerable Driver Blocklist file (DriverSiPolicy.p7b)] This update adds to the list of drivers that are at risk for Bring Your Own Vulnerable Driver (BYOVD) attacks.

DriverSiPolicy.p7b 是一个规则文件。Windows Defender 的“Microsoft 易受攻击的驱动程序阻止列表”功能会使用这个规则文件，阻止满足规则的驱动程序启动。

该功能说明见微软官网链接https://learn.microsoft.com/zh-cn/windows/security/application-security/application-control/windows-defender-application-control/design/microsoft-recommended-driver-block-rules。DriverSiPolicy.p7b 是一个二进制文件，可以通过工具转为原始XML规则进行查看。KB5040527补丁更新的driversipolicy.p7b文件转为XML之后，信息如下：

根据实际测试结果，微软技术支持页面的相关描述，和对该XML字段的解读。可以确认火绒的驱动相关程序sysdiag和hrfwdrw.sys全版本被加入到阻止列表，并且火绒数字签名也被加入到阻止列表。

火绒工程师通过更新补丁复现该问题，得到两个版本的driversipolicy.p7b文件。其中一个文件拉黑了sysdiag.sys、hrfwdrv.sys的版本和火绒的数字签名信息，另一个文件仅拉黑了火绒的数字签名信息。而结果都是更新KB5040527补丁后火绒驱动无法启动。目前我们正在积极与微软沟通，若您在使用过程中出现此问题，请参考以下方案解决。

临时解决方案

1.进入Windows安全中心，找到设备安全性，点击内核隔离功能下的内核隔离详细信息链接。

2.关闭“Microsoft 易受攻击的驱动程序阻止列表”功能后重启系统即可解决。

若以上方式不适用于您的设备，需要按照以下步骤卸载相关补丁：

1.Win+R打开运行窗口，输入control后点击确定打开控制面板。

2.选择程序（又称程序和功能）。

3.选择查看已安装的更新。

4.卸载KB5040527补丁后重启系统。

若以上方法均无法解决您的问题，请及时与我们联系，感谢您对火绒的支持！