Porady dotyczące zabezpieczeń
Porady dotyczące zabezpieczeń firmy Microsoft 2506014
Aktualizacja modułu ładującego systemu operacyjnego Windows
Opublikowano: 12 kwietnia 2011 r.
Wersja: 1.0
Informacje ogólne
Streszczenie
Firma Microsoft ogłasza dostępność aktualizacji, aby winload.exe rozwiązać problem z wymuszaniem podpisywania sterowników. Chociaż nie jest to problem, który wymaga aktualizacji zabezpieczeń, ta aktualizacja rozwiązuje metodę, za pomocą której niepodpisane sterowniki mogą być ładowane przez winload.exe. Ta technika jest często wykorzystywana przez złośliwe oprogramowanie, aby pozostać rezydentem w systemie po początkowej infekcji.
Problem dotyczy, a aktualizacja jest dostępna dla wersji opartych na architekturze x64 systemów Windows Vista, Windows Server 2008, Windows 7 i Windows Server 2008 R2. Aby uzyskać więcej informacji na temat tej wersji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 2506014.
Szczegóły porady
Odwołania do problemów
Aby uzyskać więcej informacji na temat tego problemu, zobacz następujące odwołania:
| Informacje | Identyfikator |
|---|---|
| Artykuł z bazy wiedzy Microsoft Knowledge Base | 2506014 |
Oprogramowanie, którego dotyczy problem i nie dotyczy
W tym poradniku omówiono następujące oprogramowanie.
| Oprogramowanie, którego dotyczy problem |
|---|
| Windows Vista x64 Edition z dodatkiem Service Pack 1 i Windows Vista x64 Edition z dodatkiem Service Pack 2 |
| Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 |
| Windows 7 dla systemów opartych na architekturze x64 i Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 |
| Windows Server 2008 R2 dla systemów opartych na x64 i Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 |
| Oprogramowanie, którego nie dotyczy problem |
| Dodatek Service Pack 3 dla systemu Windows XP |
| Windows XP Professional x64 Edition z dodatkiem Service Pack 2 |
| Windows Server 2003 z dodatkiem Service Pack 2 |
| Windows Server 2003 x64 Edition z dodatkiem Service Pack 2 |
| Windows Server 2003 z dodatkiem SP2 dla systemów opartych na itanium |
| Windows Vista z dodatkiem Service Pack 1 i Windows Vista z dodatkiem Service Pack 2 |
| Windows Server 2008 dla systemów 32-bitowych i Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 |
| Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2 |
| System Windows 7 dla systemów 32-bitowych i Windows 7 dla systemów 32-bitowych z dodatkiem Service Pack 1 |
| Windows Server 2008 R2 dla systemów opartych na itanium i Windows Server 2008 R2 dla systemów itanium z dodatkiem Service Pack 1 |
Często zadawane pytania
Jaki jest zakres porad?
Ten poradnik zawiera wyjaśnienia i powiadomienie o dostępności aktualizacji niezwiązanej z zabezpieczeniami w celu rozwiązania problemu z wymuszaniem podpisywania sterowników. Aktualizacja adresuje metodę, za pomocą której sterowniki niepodpisane mogą być ładowane przez winload.exe. Ta technika jest często używana przez złośliwe oprogramowanie, takie jak rootkits, aby pozostać rezydentem w systemie po początkowej infekcji. Problem dotyczy oprogramowania wymienionego w powyższej tabeli Oprogramowania, którego dotyczy problem.
Co powoduje wystąpienie tego problemu?
Podczas procesu rozruchu winload.exe określa podpisany stan plików binarnych systemu. Niektóre nieprzyzwoicie w tym procesie umożliwiają ładowanie niepodpisanych plików binarnych. W takim przypadku system Windows nie może zagwarantować integralności niektórych podstawowych składników systemu operacyjnego.
Co to jest moduł ładujący systemu operacyjnego Windows (winload.exe)?
Moduł ładujący systemu operacyjnego Windows (winload.exe) ładuje jądro systemu Windows i jego zależności, a także sterowniki rozruchu. Ten składnik zawiera również kod, który wysyła zapytanie do systemu BIOS systemu w celu pobrania podstawowych informacji o urządzeniu i konfiguracji. Ta aplikacja jest częścią systemu operacyjnego i ładuje określoną wersję systemu Windows. Używa oprogramowania układowego do ładowania jądra systemu operacyjnego i rozruchu krytycznych sterowników urządzeń z lokalnego dysku twardego.
Co to jest podpisywanie sterowników?
Podpisywanie sterowników kojarzy podpis cyfrowy z pakietem sterowników. Instalacja urządzenia z systemem Windows używa podpisów cyfrowych do weryfikowania integralności pakietów sterowników i weryfikowania tożsamości dostawcy (wydawcy oprogramowania), który udostępnia pakiety sterowników. Ponadto zasady podpisywania kodu trybu jądra dla wersji x64 systemu Windows Vista i nowszych wersji systemu Windows określają, że sterownik trybu jądra musi być podpisany, aby sterownik mógł załadować sterownik. Aby uzyskać więcej informacji na temat podpisywania sterowników, zobacz artykuł MSDN Podpisywanie sterowników.
Co to jest zestaw rootkit?
Rootkit to program, którego głównym celem jest wykonywanie pewnych funkcji, których nie można łatwo wykryć ani cofnąć przez administratora systemu, takich jak ukrywanie się lub inne złośliwe oprogramowanie.
Czy ta aktualizacja usuwa zestaw rootkit z zainfekowanego systemu?
L.p. Aktualizacja zapobiega znanej metodzie używanej przez zestawy rootkit do ukrywania przed programami chroniącymi przed złośliwym oprogramowaniem. Nawet po zainstalowaniu aktualizacji system zainfekowany zestawem rootkit będzie nadal musiał zostać oczyszczony za pośrednictwem innych środków.
Jak określić, czy mój system jest zainfekowany zestawem rootkit?
Po zastosowaniu aktualizacji zainstalowany program chroniący przed złośliwym oprogramowaniem powinien mieć możliwość wykrywania zestawu rootkit i informowania o jego obecności.
Jak mogę odinstalować zestaw rootkit?
Ręczne usuwanie nie jest zalecane w przypadku większości zestawów rootkit. Użyj narzędzia Microsoft Malicious Software Removal Tool, Microsoft Security Essentials, skanera bezpieczeństwa Windows Live OneCare lub innego aktualnego narzędzia do skanowania i usuwania, aby wykryć i usunąć to zagrożenie oraz inne niechciane oprogramowanie z komputera. Aby uzyskać więcej informacji na temat produktów zabezpieczeń firmy Microsoft, zobacz https:.
Czy ta aktualizacja zapobiegnie występowaniu przyszłych zakażeń?
L.p. Ta aktualizacja zwiększa trudności z ukrywaniem się zestawów rootkit, ale ponieważ nie rozwiązuje luki w zabezpieczeniach, nie zapobiegnie przyszłej infekcji złośliwym oprogramowaniem.
Dlaczego ta aktualizacja jest dostępna tylko dla systemów opartych na architekturze x64?
Podpisywanie sterowników nie jest wymaganiem 32-bitowych wersji wymienionych wersji systemu operacyjnego Windows. Ten problem nie ma wpływu na systemy oparte na itanium.
Jestem deweloperem, który wysyła podpisane pliki binarne. Czy ta aktualizacja będzie wymagać ponownego podpisania wszystkich plików binarnych?
L.p. Ta aktualizacja nie wymaga żadnych zmian w istniejących podpisanych plikach binarnych.
Jak firma Microsoft wyświetli tę aktualizację w witrynie sieci Web usługi Windows Update?
Aktualizacja jądra systemu Windows jest aktualizacją o wysokim priorytcie w witrynie sieci Web windows Update. W witrynie usługi Windows Update zostanie ona wymieniona w kategorii "Wysoki priorytet" Aktualizacje dla klientów, którzy nie otrzymali już aktualizacji i są uruchomione oprogramowanie wymienione powyżej.
Czy ta aktualizacja będzie dystrybuowana za pośrednictwem Aktualizacje automatycznych?
Tak, ta aktualizacja jest dystrybuowana przez automatyczne Aktualizacje do systemów wymienionych w powyższej tabeli Affected Software.
Czy jest to aktualizacja, która wymaga biuletynu?
Nie, nie jest to problem, który wymaga biuletynu zabezpieczeń i aktualizacji zabezpieczeń firmy Microsoft. Aby program mógł wykonywać kod zgodnie z powyższym opisem, program musi być już wykonywany na poziomie uprzywilejowanym. Aktualizacja wprowadza zmiany, aby zapewnić, że tylko zamierzone programy podpisane przez prawidłowy urząd certyfikacji mogą być wykonywane w winload.exe w fazie rozruchu.
Jest to biuletyn zabezpieczeń dotyczący aktualizacji niezwiązanej z zabezpieczeniami. Czy to nie jest sprzeczność?
Biuletyny zabezpieczeń dotyczą zmian zabezpieczeń, które mogą nie wymagać biuletynu zabezpieczeń, ale nadal mogą mieć wpływ na ogólne zabezpieczenia klienta. Biuletyny zabezpieczeń to sposób, aby firma Microsoft komunikowała klientom informacje dotyczące zabezpieczeń dotyczące problemów, które mogą nie być klasyfikowane jako luki w zabezpieczeniach i mogą nie wymagać biuletynu zabezpieczeń lub problemów, dla których nie wydano biuletynu zabezpieczeń. W takim przypadku komunikujemy dostępność aktualizacji, która ma wpływ na możliwość wykonywania kolejnych aktualizacji, w tym aktualizacji zabezpieczeń. W związku z tym ten poradnik nie dotyczy określonej luki w zabezpieczeniach; zamiast tego zajmuje się ogólnymi zabezpieczeniami.
Sugerowane akcje
Przejrzyj artykuły z bazy wiedzy Microsoft Knowledge Base skojarzone z tym poradnikiem
Zachęcamy klientów do instalowania tych aktualizacji. Klienci, którzy chcą dowiedzieć się więcej na temat tych aktualizacji, powinni zapoznać się z artykułem bazy wiedzy Microsoft Knowledge Base 2506014.
Aby uzyskać więcej informacji na temat terminologii, która pojawia się w tym poradniku, takim jak "aktualizacja", zobacz artykuł bazy wiedzy Microsoft Knowledge Base 824684.
Ochrona komputera
Nadal zachęcamy klientów do przestrzegania naszych wskazówek dotyczących włączania zapory, pobierania aktualizacji oprogramowania i instalowania oprogramowania antywirusowego. Klienci mogą dowiedzieć się więcej o tych krokach, odwiedzając stronę Ochrona komputera.
Aktualizowanie systemu Windows
Wszyscy użytkownicy systemu Windows powinni zastosować najnowsze aktualizacje zabezpieczeń firmy Microsoft, aby upewnić się, że ich komputery są tak chronione, jak to możliwe. Jeśli nie masz pewności, czy oprogramowanie jest aktualne, odwiedź witrynę Windows Update, przeskanuj komputer pod kątem dostępnych aktualizacji i zainstaluj wszystkie oferowane aktualizacje o wysokim priorytcie. Jeśli włączono automatyczne Aktualizacje, aktualizacje są dostarczane po ich wydaniu, ale musisz się upewnić, że je zainstalujesz.
Inne informacje
Microsoft Active Protections Program (MAPP)
Aby zwiększyć ochronę zabezpieczeń dla klientów, firma Microsoft udostępnia informacje o lukach w zabezpieczeniach głównym dostawcom oprogramowania zabezpieczającego przed każdym comiesięcznym wydaniem aktualizacji zabezpieczeń. Dostawcy oprogramowania zabezpieczającego mogą następnie używać tych informacji o lukach w zabezpieczeniach, aby zapewnić klientom zaktualizowane zabezpieczenia za pośrednictwem oprogramowania lub urządzeń zabezpieczeń, takich jak oprogramowanie antywirusowe, systemy wykrywania nieautoryzowanego dostępu do sieci lub systemy zapobiegania włamaniom oparte na hoście. Aby określić, czy aktywne zabezpieczenia są dostępne od dostawców oprogramowania zabezpieczającego, odwiedź stronę aktywnych witryn sieci Web udostępnianych przez partnerów programu wymienionych w programie Microsoft Active Protections Program (MAPP).
Opinia
- Możesz przekazać opinię, wypełniając formularz Pomoc i obsługa techniczna firmy Microsoft, skontaktuj się z nami.
Pomoc techniczna
- Klienci w Stany Zjednoczone i Kanadzie mogą otrzymywać pomoc techniczną od działu pomocy technicznej ds. zabezpieczeń. Aby uzyskać więcej informacji na temat dostępnych opcji pomocy technicznej, zobacz Pomoc i obsługa techniczna firmy Microsoft.
- Klienci międzynarodowi mogą otrzymywać pomoc techniczną od swoich lokalnych spółek zależnych firmy Microsoft. Aby uzyskać więcej informacji na temat kontaktowania się z firmą Microsoft w celu uzyskania międzynarodowych problemów z pomocą techniczną, odwiedź stronę Międzynarodowa pomoc techniczna.
- Microsoft TechNet Security zawiera dodatkowe informacje na temat zabezpieczeń w produktach firmy Microsoft.
Zastrzeżenie
Informacje podane w tym poradniku są dostarczane "tak, jak jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Poprawki
- Wersja 1.0 (12 kwietnia 2011 r.): Opublikowano porady.
Zbudowany pod adresem 2014-04-18T13:49:36Z-07:00</https:>