Советы по безопасности
Советы по безопасности Майкрософт 2506014
Обновление для загрузчика операционной системы Windows
Опубликовано: 12 апреля 2011 г.
Версия: 1.0
Общие сведения
Краткий обзор
Корпорация Майкрософт объявляет о доступности обновления, чтобы winload.exe устранить проблему при подписании драйвера. Хотя это не проблема, требующая обновления системы безопасности, это обновление устраняет метод, с помощью которого неподписанные драйверы могут загружаться winload.exe. Этот метод часто используется вредоносными программами для пребывания в системе после первоначальной инфекции.
Проблема влияет, и обновление доступно для выпусков Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 на основе x64. Дополнительные сведения об этом выпуске см . в статье базы знаний Майкрософт 2506014.
Сведения о рекомендациях
Ссылки на проблемы
Дополнительные сведения об этой проблеме см. в следующих ссылках:
| Ссылки | Идентификация |
|---|---|
| Статья базы знаний Майкрософт | 2506014 |
Затронутое и не затронутое программное обеспечение
В этом руководстве рассматривается следующее программное обеспечение.
| Затронутого программного обеспечения |
|---|
| Windows Vista x64 Edition с пакетом обновления 1 и Windows Vista x64 Edition с пакетом обновления 2 |
| Windows Server 2008 для систем на основе x64 и Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) |
| Windows 7 для систем на основе x64 и Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 для систем на основе x64 и Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Не затронутое программное обеспечение |
| Windows XP с пакетом обновления 3 (SP3) |
| Windows XP Professional x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 |
| Windows Server 2003 x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium |
| Windows Vista с пакетом обновления 1 и Windows Vista с пакетом обновления 2 |
| Windows Server 2008 для 32-разрядных систем и Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 |
| Windows Server 2008 для систем на основе Itanium и Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) |
| Windows 7 для 32-разрядных систем и Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 для систем на основе Itanium и Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) |
Вопросы и ответы
Что такое область рекомендаций?
Эта рекомендация предоставляет уточнение и уведомление о доступности обновления, отличного от системы безопасности, для решения проблемы при подписании драйвера. Обновление обращается к методу, с помощью которого можно загрузить неподписанные драйверы winload.exe. Этот метод часто используется вредоносными программами, такими как rootkits, чтобы оставаться в системе после первоначальной инфекции. Эта проблема влияет на программное обеспечение, указанное в приведенной выше таблице затронутых программ .
Что приводит к возникновению этой проблемы?
Во время загрузки winload.exe определяет состояние системных двоичных файлов со знаком. Некоторые несоответствия в этом процессе позволяют загружать неподписанные двоичные файлы. В этом случае Windows не может гарантировать целостность определенных основных компонентов операционной системы.
Что такое загрузчик ОС Windows (winload.exe)?
Загрузчик ОС Windows (winload.exe) загружает ядро Windows и его зависимости, а также драйверы запуска загрузки. Этот компонент также содержит код, который запрашивает BIOS системы для получения базовых сведений об устройстве и конфигурации. Это приложение является частью операционной системы и загружает определенную версию Windows. Он использует встроенное ПО для загрузки ядра операционной системы и загрузки критически важных драйверов устройств с локального жесткого диска.
Что такое подписывание драйвера?
Подписывание драйвера связывает цифровую подпись с пакетом драйвера. Установка устройств Windows использует цифровые подписи для проверки целостности пакетов драйверов и проверки удостоверения поставщика (издателя программного обеспечения), который предоставляет пакеты драйверов. Кроме того, политика подписывания кода в режиме ядра для выпусков windows Vista и более поздних версий Windows указывает, что драйвер в режиме ядра должен быть подписан для загрузки драйвера. Дополнительные сведения о подписи драйверов см. в статье MSDN, подписывая драйвер.
Что такое rootkit?
Rootkit — это программа, основная цель которой заключается в выполнении определенных функций, которые не могут быть легко обнаружены или отменены системным администратором, например скрыть себя или другие вредоносные программы.
Удаляет ли это обновление коркит из зараженной системы?
№ Обновление предотвращает известный метод, используемый rootkits для скрытия от программ защиты от вредоносных программ. Даже после установки обновления система, зараженная корневым китом, по-прежнему должна быть очищена с помощью некоторых других средств.
Как определить, заражена ли моя система rootkit?
После применения обновления установленная программа защиты от вредоносных программ должна быть в состоянии обнаружить коркит и сообщить о его присутствии.
Разделы справки удалить rootkit?
Удаление вручную не рекомендуется для большинства rootkits. Используйте средство удаления вредоносных программ Майкрософт, Microsoft Security Essentials, сканер безопасности Windows Live OneCare или другое актуальное средство сканирования и удаления, чтобы обнаружить и удалить эту угрозу и другое нежелательное программное обеспечение с компьютера. Дополнительные сведения о продуктах безопасности Майкрософт см . по адресу https:.
Будет ли это обновление предотвратить возникновение будущих инфекций?
№ Это обновление увеличивает трудности с скрытием коркитов, но так как оно не устраняет уязвимость безопасности, это не позволит предотвратить возникновение следующей инфекции вредоносных программ.
Почему это обновление доступно только для систем на основе x64?
Подпись драйвера не является требованием 32-разрядных выпусков перечисленных версий операционной системы Windows. Системы на основе itanium не влияют на эту проблему.
Я разработчик, который поставляет подписанные двоичные файлы. Потребуется ли это обновление повторно подписать все двоичные файлы?
№ Это обновление не требует никаких изменений в существующих подписанных двоичных файлах.
Как корпорация Майкрософт перечислит это обновление на веб-сайте Обновл. Windows?
Обновление ядра Windows является высокоприоритетным обновлением на веб-сайте Обновл. Windows. На сайте Обновл. Windows он будет указан в категории "Высокий приоритет" Обновления для клиентов, которые еще не получили обновление и работают с программным обеспечением, перечисленным выше.
Будет ли это обновление распространяться по автоматическому Обновления?
Да, это обновление распространяется по автоматическому Обновления системам, перечисленным в таблице "Затронутого программного обеспечения".
Это обновление, которое требует бюллетеня?
Нет, это не проблема, которая требует бюллетеня майкрософт по безопасности и обновления системы безопасности. Чтобы программа выполняла код, как описано выше, программа должна выполняться на привилегированном уровне. Обновление вносит изменения, чтобы убедиться, что только предполагаемые программы, подписанные допустимым центром сертификации, могут выполняться в winload.exe на этапе загрузки.
Это рекомендации по безопасности для обновления, отличного от системы безопасности. Разве это не противоречие?
Рекомендации по безопасности устраняют изменения безопасности, которые могут не требовать бюллетеня по безопасности, но по-прежнему могут повлиять на общую безопасность клиента. Советы по безопасности — это способ связи корпорации Майкрософт с информацией, связанной с безопасностью, для клиентов о проблемах, которые не могут быть классифицированы как уязвимости и могут не требовать бюллетеня по безопасности или о проблемах, для которых не был выпущен бюллетень по безопасности. В этом случае мы сообщаем о доступности обновления, которое влияет на возможность выполнения последующих обновлений, включая обновления системы безопасности. Таким образом, эти рекомендации не рассматривают определенную уязвимость безопасности; скорее, он отвечает за общую безопасность.
Предлагаемые действия
Ознакомьтесь со статьями базы знаний Майкрософт, связанными с этим рекомендацией
Мы рекомендуем клиентам устанавливать эти обновления. Клиенты, которые интересуются дополнительными сведениями об этих обновлениях, должны ознакомиться со статьей базы знаний Майкрософт 2506014.
Дополнительные сведения о терминологии, которая отображается в этой рекомендации, например "обновление", см . в статье базы знаний Майкрософт 824684.
Защита компьютера
Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Клиенты могут узнать больше об этих шагах, перейдя на страницу "Защита компьютера".
Обновление Windows
Все пользователи Windows должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно больше. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Обновл. Windows, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если у вас включена автоматическая Обновления, обновления доставляются вам при их выпуске, но их необходимо установить.
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программе Microsoft Active Protections Program (MAPP).
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения о доступных вариантах поддержки см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения о том, как связаться с корпорацией Майкрософт по вопросам международной поддержки, см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (12 апреля 2011 г.): рекомендации, опубликованные.
Построено в 2014-04-18T13:49:36Z-07:00</https:>