Comments 62
Наверное, высшее руководство M$ считает, что компьютеры и ноутбуки старше 10 лет должны быть выкинуты пользователями на свалку, а взамен них куплены новые.
Наверное, автор статьи может предложить иное решение, которое бы не позволило подписать малварь скомпрометированным сертификатом? Скомпрометированный сертификат отзывается, иного решения быть не может. Точно так же, например, при утрате паспорта и выдаче нового старый становится недействительным (полагаю, не нужно объяснять, почему такой скомпрометированный паспорт не должен оставаться действующим). И если на него у вас было что-то завязано, то оно может перестать работать.
Если не отключать автоматическое обновление, то какие есть способы решения изложенной здесь проблемы?
Немногочисленным пользователям этого драйвера следует подписать драйвер своим самосгенерированным сертификатом. Если этот драйвер не user-mode, то придётся включить тестовый режим.
Можно попробовать отключить защиту от уязвимых драйверов.
Третий вариант: разбираться с политиками WDAC. Но это потянет на отдельную большую статью, которую я не готов написать (желающие могут начать отсюда). Да и трудозатраты на поддержание этих политик в актуальном состоянии (своевременное обновление своего кастомного набора политик в соответствии с новыми угрозами) слишком велики, а если на обновление политик забить, то постепенно это всё больше приближается к варианту "отключить защиту".
Можно было бы отключить и службу Центра обновлений Windows
Нельзя, это переводит вашу конфигурацию в разряд "неподдерживаемых". Политика это официально поддерживаемый способ. А "неподдерживаемые" конфигурации чреваты тем, что Microsoft их не учитывает, не тестирует своё ПО с ними, и вы добровольно переходите куда-то туда, где на древних картах писали "тут могут водиться драконы". Яркий пример: пользователи совершенно чудовищного активатора Windows 7, который создавал копию ядра, патчил её и грузил её вместо оригинального ядра, лососнули тунца, когда оригинальное ядро обновилось, системное окружение обновилось и всё падало в BSOD, поскольку ядро-то у этих стрелков себе в ногу грузилось старое, а Microsoft такие неподдерживаемые извраты, разумеется, при тестировании не учитывает.
В данной ситуации компания Microsoft решила отозвать старые сертификаты (до указанной выше даты), путём включения в июльский пакет обновления CRL (certificate revocation list - отзывной список сертификатов).
Некоторые сертификаты, кстати, выжили. То ли не заметили, то ли слишком много драйверов подписано ими. Например, сертификат Atheros, который утёк ещё в 2015 году. Из нового - сертификат Rockstar, утёкший вместе с исходниками GTA V.
К слову, есть довольно удобный инструмент, который позволяет генерировать свои сертификаты и подписывать драйверы (в том числе задним числом с самопальным таймштампом), не прибегая к консольным командам. Помимо этого он ещё может патчить файлы и многое другое, разве что кофе не варит.
Немногочисленным пользователям этого драйвера следует подписать драйвер своим самосгенерированным сертификатом. Если этот драйвер не user-mode, то придётся включить тестовый режим.
Да, читал про этот способ, просто сам не пробовал и в статье не упомянул. Но это не "конвейерное производство", а штучная настройка отдельно-взятого ПК под отдельно-взятую версию ОС и драйвера между ними. Для компьютерной мастерской не подходит.
Некоторые сертификаты, кстати, выжили. То ли не заметили, то ли слишком много драйверов подписано ими. Например, сертификат Atheros, который утёк ещё в 2015 году. Из нового - сертификат Rockstar, утёкший вместе с исходниками GTA V.
Странно, что для версии LTSB 2016 (v1607) сертификаты отозваны и для Wi-Fi, и для Bluetooth, а для версии LTSC 2019 (v1809) только для Bluetooth, а тот же самый драйвер Wi-Fi работает без проблем.
Я не проверял, но не удивлюсь если окажется, что для какой-нибудь Windows 10 Pro версии 22H2, например, все драйвера работают и никакие лишние сертификаты не отозваны. Возможно это стратегия M$ принуждать пользователей переходить на последние версии ОС, а "не засиживаться" на начальных сборках Windows 10.
Сегодня, многие разработчики программ выпускают новые версии поддерживающие работу только на Windows 10 или выше. При таком раскладе для меня предпочтительным является выбор Windows 10 LTSB 2016 (v1607), так как она не перегружена лишними, ненужными мне функциями, и являясь корпоративной версией, очищена от "барахла" из Магазина Windows.
Для компьютерной мастерской не подходит.
Так у вас сборка для личных нужд. В мастерской же количество компьютеров ограничено. Централизованно раскатать на ограниченное количество компов сертификат и драйверы не так сложно (необязательно вручную же). Все необходимое для этого Microsoft предоставила.
Или вы её раскатываете клиентам? Тогда это тяжкий грех, автоматически превращающий сборку в говносборку (сборка, предназначенная для установки неограниченному кругу лиц). Соответственно такие проблемы Microsoft решать не будет и не должна.
создавал копию ядра, патчил её и грузил её вместо оригинального ядра
О, это была широко известная в узких кругах сборка 7SP1 )
btw, пингвин бы загрузился… отвалились бы модули, если они устанавливались отдельным пакетом, но загрузился бы — вполне возможно даже с графикой.
На пингвине такое извращение не нужно.
В том числе потому что ситуация "у пользователя вообще собранное им лично ядро" - штатная. И грабли известны - отваливаются out-of-tree драйвера, но либо их авторы знают про проблему и озаботились заранее(shim nvidia, vmware, dkms наконец) либо не будет работать (а пользователь будет задавать вопросы авторам этого) либо работать не будет - но последний случай это почти исключительно Android с blob'ами и там более менее известны как неофициальные способы как то попробовать прикрутить пусть с трудом либо...помним что гугл HAL потихоньку пишет?
гугл HAL потихоньку пишет
О, а можно ссылочку? А то этот слышал только про фуксию, а поиск находит кучу всякий трейдерских приложенек и сводки акций
Проект Treble - см например раздел про это в https://habr.com/ru/articles/533468/
И даже stable api делают (условно stable) https://source.android.com/docs/core/architecture/kernel/stable-kmi?hl=en
Наверное, автор статьи может предложить иное решение, которое бы не позволило подписать малварь скомпрометированным сертификатом?
Бережнее относиться к PKI? Но это вроде не пользовательская проблема.
Скомпрометированный сертификат отзывается, иного решения быть не может.
Безусловно. Очевидно, кто-то должен предоставить пользователю драйвер без вредоносов подписанный валидным сертом. Уточню, драйвер предоставить, а не проблем подвезти.
например, при утрате паспорта и выдаче нового старый становится недействительным
Вот только от утраты паспорта человек не становится автоматически преступником.
Ну так ключ утёк не из MS. Как она за это может отвечать?
Совершенно непонятно почему нет механизма доверия к драйверу. Ну т.е. вот есть у меня драйвер, он не подписан(или подписан неверно), но я лично гарантирую что он невредоносен(я его лично получил на диске к примеру), почему его нельзя использовать то мне лично в моей ос ? В чем логика ?
Насколько я помню, кто-то по секрету поделился, что это для реализации DRM. Им надо было непробиваемую систему, а если каждый может грузить свой драйвер, то ни о какой надёжной защите контента от пользователя речи быть не может.
Это чисто для галочки, сказать правообладателям: вот, мы сделали, как вы хотели, теперь давайте сюда свой контент. А по факту, есть тестовый режим загрузки без проверки подписей, где делай что хочешь. Да и при желании ещё масса способов пролезть в ядро при наличии физического доступа к процессу загрузки.
Совершенно непонятно. МС как-то в состоянии все драйвера проверить? Как по мне - это априори невыполнимая задача. Ну т.е. имея умысел всегда можно просочиться.
Очень сомнительная затея, впрочем когда это их останавливало ...
Интересно, а возможна ли тут атака, когда ты специально готовишь два драйвера, хороший и вредоносный, оба с одним хешем...
Дело в том, что с подписями у MS появляется мощнейший козырь в виде отзыва сертификатов. Если обнаруживается драйвер, нарушающий соглашение, MS может заблочить сертификат, и компании-владельцу придётся покупать новый — и не факт, что ей вообще его продадут после таких кунштюков. А если и продадут, не факт, что Microsoft согласится восстановить корпоративный партнёрский аккаунт, без которого сейчас подписывать драйверы невозможно. Разве что закрыть и переоткрыть юр. лицо, но это та ещё волокита.
Понятно, что абсолютно все лазейки прикрыть невозможно, но это вечная битва щита и меча. Единичные маргиналы погоды не делают. Но когда очередной найденный ими механизм обхода защиты получает достаточно широкое распространение в народе, MS выкатывает очередную закрывашку, как это случилось с истёкшими сертификатами, которыми народ до этого активно пользовался много лет (в том числе и для вполне легальных целей).
С атакой на хэши — сомнительно. Во-первых, подогнать хэш всё-таки не настолько тривиальная задача. Во-вторых, если зловредный драйвер выявится в дикой природе, то MS'у будет всё равно, какие там у него хэши, сертификат просто заблокируют. Такой трюк подойдёт разве что исключительно для внутреннего использования, да и то лишь в случае, когда драйвер настолько злобный, что его стрёмно слать в Microsoft даже в полностью автоматизированную подписывалку.
оба с одним хешем
В пейлоаде сертификата не единственный хеш, а merkle-дерево, чтобы проверять постранично при подкачке, не загружая в память весь файл. Те ещё задачка, чтобы всё это сошлось.
Логика в том, чтобы малварь не сделала этого за вас. Политика такая, чтобы сделать ядро предельно безопасным - и тут у msуспехи есть.
Некоторые сертификаты, кстати, выжили. То ли не заметили, то ли слишком много драйверов подписано ими. Например, сертификат Atheros, который утёк ещё в 2015 году. Из нового - сертификат Rockstar, утёкший вместе с исходниками GTA V.
Тоесть майки проблем пользователям подкинули отозвав сертификаты, но проблему не решили, потому что отозвали не все. Я правильно понял? Ну... отличный подход
По поводу паспорта: вы обращали внимание, что в новый паспорт в конец вписывают все номера предыдущих? Чтоб решить проблему "у меня тут услуга привязана к номеру паспорта, который теперь не действителен". Так что аналогия ложная - с новым паспортом вы можете идентифицироваться там, где прописан старый номер.
Правительством принято постановление, которым признаны необязательными
штампы в паспортах россиян о семейном положении, детях до 14 лет, а
также отметки о ранее выданных паспортах: внутренних и заграничных.https://rg.ru/2021/08/08/v-rossii-otmenili-otmetki-v-pasporte-o-brake-i-detiah.html
p.s. как создать на ровном месте головняк
Забавная хрень, в Беларуси такого никогда не было, чтобы номера старых паспортов вписывали в новый. Ноль смысла как мне кажется, да и привязка к номеру - странная вещь.
в РФ если поменять паспорт то довольно быстро заблокируются все клиентбанки и надо ногами ехать в отделение и обновлять паспортные данные, чтобы сменили номер в системе, да и вообще заклинят все службы где фигурирует номер паспорта.
там не только к номеру привязка, но и к "где когда выдан, код подразделения"..причем с точностью до символа.
Это одно из развлечений женщин после смены фамилии при замужестве
Это решение показалось мне "некрасивым", поэтому даже не стал его пробовать.
Какие то странные выводы. 10 лет точно сидел в тест моде из-за патченной сандбокси (когда она была платная еще) и еще пары софтин. А ватермарк всю жизнь убирался.
Из минусов: крайне тупенькие анти-читы тригерятся. Впрочем, вспоминаю, как ОчкоГлаз (battleye) тригерился на: блокнот, процесс хакер, музыкальный плеер, видео плеер, тотал коммандер, скопилированные самописные бинарики и половину софта рабочего софта. Так что срабатывание на тестовые режим в этом случае был минимальной проблемой.
крайне тупенькие
Почти все. Потому что вгрузить свой драйвер это один из популярных способов у читеров.
На их профильных форумах прямо радость царит, когда утекает очередной сертификат и они бросаются им подписывать. Я там пасусь, потому что тоже интересуюсь утечками сертификатов, хотя и с другими целями, нежели читерство.
Мне вот интересно - а вариант с запуском системы под гипервизором (с пробросом видеокарты) для читерства не используется?(конечно с маскировкой факта что это виртуалка если античит триггерится) Либо полноценным гипервизором вроде KVM либо маленьким специально чтобы получить доступ к памяти. Или так сложнее потому что patchguard?
Мне вот интересно - а вариант с запуском системы под гипервизором (с пробросом видеокарты) для читерства не используется?(конечно с маскировкой факта что это виртуалка если античит триггерится)
Давно уж что читы, что античиты для топовых competition-игр прописались в гипервизоре. И ничего не нужно пробрасывать, "полноценный" kvm излишен. Продвинутые форумные скрипт-киддисы пишуткачают с гитхаба элементарные "hello world"-гипервизоры резидентного драйвера дырявого UEFI, ОС грузится напрямую на железе с маппингом в гипервизор 1-к-1, и творится вакханалия а-ля БСОДы, ошибки загрузки системы и прочий треш.
С UEFI проблема намного серьёзнее дырявых дров винды, т. к. вендоры исправляют уязвимости в своих реализациях UEFI приблизительно никогда.
Или так сложнее потому что patchguard?
PatchGuard точно так же обходится в процессе загрузки ядра, когда средствами гипервизора составляется карта процессов, потоков и замапленных регионов памяти ОС. Так сложнее, потому что надо потратить время, чтобы разбираться в работе ОС и гипервизорах, а нагибать нубов надо прямо сейчас.
Гипервизоры это ещё полбеды. Существуют приватные коммерческие читы для "профессиональных стримеров", представляющие из себя аппаратный DMA-модуль с программной обвязкой-фреймворком, которая может скастомизировать железку под себя так, что каким бы крутым ни был античит, он не сможет заподозрить, что память читается сторонним устройством. Да, цены таких девайсов $10к+, но блогерычитеры-милионники могут себе позволить.
Где можно скачать ваши сборки? В прошлом году какраз ставил коллеге 10ку на старенький делл... и столкнулся с проблемой драйверов на вафлю. В итоге так и пришлось вернуть 7ку.
Нигде. Свои сборки в публичный доступ не выкладываю. Можете сами собрать: нужно взять оригинальный образ, вытащить из него install.wim и "обработать" с помощью моих скриптов (см. предыдущие статьи).
Интегрировать нужно четыре обновления: 1) установочный пакет .NET Framework 4.8; 2) накопительное обновление .NET Framework 4.8; 3) системный стек; 4) накопительное обновление безопасности (Rollup) за июнь 2023. Обязательно отключить автоматическое обновление. В описании к Rollup`у указан номер подходящего стека.
Можно ничего не интегрировать в образ - поставить чистую, а потом обработать скриптами, в том числе установив нужные обновления. Пробуйте, всё получится!
Жаль... нет уж, спасибо... ради одного-двух раз я этим занимацца не хочу :))
Ставил вчера с оригинальной флешки... всё хорошо, но как только подтянулся драйвер на видюху с обновлений - картинка пропала. То же самое было с этой-же моделью в прошлом году. Видимо не только на сеть драйвера сломали. Помню я вечер убил, но так и не победил этот косяк в 10ке :(
С вин 7 та же опасность есть, или это только для вин 10 ?
Сертификат - да, драйвер - нет.
W7 и W8.1 уже не обновляются, поэтому никакой отзывной список сертификатов прийти не может.
Вспомнил, что есть CRL (URL, через который проверяют отозванные сертификаты в режиме реального времени). И действительно, при проверке подписи EXE винда может пойти в интернет. Потом вспомнил, что для проверки драйверов это не применяется, т.к. сетевой стек может быть ещё не готов в момент загрузки.
Не пробовали ставить EfiGuard для отключения проверки подписи драйверов? Когда нужно было поставить неподписанные драйвера, гуглением вышел на репозитории EfiGuard и UPGDSED. У самого на ноуте стоит UPGDSED, в связи с его более простой установкой на Windows 7, но рекомендуют EfiGuard, т.к. разработка первого прекращена.
Отключить проверку подписи драйверов можно и в стандартном загрузчике - тестовый режим. А что даёт использование стороннего загрузчика? То же самое?
Дает по сути то же самое, только без назойливой надписи про тестовый режим. Когда решал проблему с драйверами, наличие надписи в углу экрана при включении тестового режима мне тоже не понравилось, поэтому стал искать альтернативные варианты. Правда, сейчас не вспомню, заслуга ли это UPGDSED, или так сказалось редактирование файла shell32.dll (откуда данная надпись была благополучно удалена). Ну а в случае с EfiGuard, даже ничего патчить не нужно, все прозрачно для самой системы (как я понял, загрузчик Windows патчится прямо в памяти).
Столкнулся с той же проблемой на ноутбуке НР десятилетней давности, который прекрасно работает после замены HDD на SSD. Вернее, работал, до отзыва сертификатов. Причем решение проблемы вполне очевидное - Microsoft должна переподписать обновленной подписью драйверы в своей же собственной базе апдейтов. Но, разумеется, никто ничего делать не будет, проблемы индейцев шерифа не волнуют.
В последнее время начинаю замечать, что разного рода безопасники создают мне, пользователю, на порядки больше проблем, нежели гипотетические хакеры. И именно они сейчас становятся главными вредителями, из-за которых я теряю аккаунты, утрачиваю доступ к сервисам и конфиденциальным данным, а также живу в постоянном страхе, что в очередном обновлении любого сервиса мне прилетит какая-то хрень якобы для моей же безопасности.
Честное слово, уж лучше малварь, чем эти уроды с их бесконечными сертификатами, авторизациями и прочими защитами моих аккаунтов и данных от меня же. От малвари хоть избавиться можно, и инструменты для её выявления худо-бедно создаются.
Скажем, за последние 5 лет от действий хакеров я не потерял ни единого аккаунта, зато вот благодаря безопасникам утерян доступ аж к двум почтовым ящикам. Вот и думайте, кто больше гадит пользователям.
Это на самом деле ошибка выжившего. ваша квалификация судя по всему выше чем у 90% пользователей, по этому вам кажется что безопасники мешают
а я вот видел ситуацию когда на компьютере внутри корпоративной сети, там где "я лучше вас знаю, у меня админские права, сам все настрою и разберусь с софтом, отключите все апдейты и пароли"... при тесте на проникновение, аудиторы соорудили опорную точку для развертывания дальнейшей атаки..очень удобно оказалось, софт ставь какой хочешь, права админские, в домене у человека тоже права не самые последние...
владелец компа же профи, его же не взломают, ага.
винда всётаки первоначально это корпоративный продукт, который адаптировали под домашнее использование, по этому все эти штуки с безопасностью отражаются на всех
но в целом учитывая что вирусы живут годами на пользовательских машинах, которым "ничо не надо, всё норм работает"..то политика ужесточить всё в край выглядит не так уж и неадекватно
винда всётаки первоначально это корпоративный продукт
Хе-хе, корпоративность к ней прикручивали долго и болезненно.
В линейке надстроек над DOS не было даже пользователей.
В линейке 9x разделение пользователей было крайне условным и обходилось нажатием `Esc` на экране логина.
В линейке NT разделение на пользователей существовало, но возможности централизованного управления завезли только в NT5 (2000) — спустя две мажорные версии.
Вплоть до 5.1 система допускала установку на FAT, что сказывалось не только на устойчивости к сбоям, но и множило разделение пользователей на нуль.
Хе-хе, корпоративность к ней прикручивали долго и болезненно.
в NT линейке она была изначально, собственно она для этого и создавалась
Это 9x была пользовательской ОС..точнее в виду бесперспективности припилить к ней корпоративность, к ней прицепили пару костылей и похоронили в ME версии
, но возможности централизованного управления завезли только в NT5 (2000)
всмысле групповые политики? ну это уже изыски, которые не в каждом юниксе тех лет были, да и сейчас то не особо есть (в стандартизированном типовом виде)..хотя куда уж более корпоративная ОС чем юникс
а домены и централизованная авторизация, деление пользователей в винде (в NT и частично в Workgroups) появилась с самых незапамятных времен
зато вот благодаря безопасникам утерян доступ аж к двум почтовым ящикам
Если это yandex или mail.ru, то тут не безопасники виноваты, а гос. политика идентификации пользователей.
Если ящик не привязан к гос. услугам, его могут в любой момент заблочить.
У меня как-то блочили - "подозрительная активность". Ага, щас. Адрес рандомный, да кто про него вообще мог знать?
Причём, я даже был готов привязать телефон или госуслуги. Но поддержка отказала в восстановлении с формулировкой "не хватает информации, чтобы убедиться, что ящик действительно ваш". Вероятно, из-за того, что в данных ящика были указаны фейковые ФИО и дата рождения, что противоречит правилам сервиса. При обнаружения этого факта, ящик блокируют без возможности восстановления.
Сомневаюсь, что это именно госполитика заставляет Яндекс требовать ответ на контрольный вопрос, введённый 10 лет назад и с тех пор давно забытый, ибо ни разу не был нужен.
И вот к ящику привязан телефон, и привязана карта, с которой уже не один год осуществлялись покупки, и тут ВНЕЗАПНО им показалось забавным запросить дополнительную информацию.
Серьёзно, неужели так сложно понять, что если пользователь годами не вводил какие-то данные, то за это время он их забудет с шансом, близким к 100%?
П.С.: Если раньше, отправляясь в какое-то удалённое место, вы точно знали, какой минимальный набор информации надо с собой брать, чтобы гарантированно войти в свои аккаунты, то теперь вы никогда не можете быть уверены, что уроды-безопасники на той стороне не потребуют от вас ввести что-то ещё сверх того, что вы привыкли вводить.
Скажем, отправившись в командировку в соседний город, я не смог получить доступ к своему ящику мейлру, потому что они "обнаружили подозрительную активность" и выслали на дополнительный почтовый ящик, привязанный к основному, письмо с кодом авторизации. Вот как я мог заранее предположить такой расклад, если подобного никогда ранее не случалось? Да, пароль от дополнительного ящика у меня есть... дома, в локальном менеджере паролей. И когда я вернулся, то ящик разблокировал. Но проблем на ровном месте мне создали - вместо работы я судорожно должен был отписываться всем с просьбой слать рабочие письма на другой адрес.
По-моему уровень безопасности уже достиг той планки, за которой её дальнейшее усиление несёт больше вреда, чем пользы. С такими "защитниками" никаких хакеров не нужно.
через редактор локальной групповой политики нашел соответствующий параметр в одном из разделов Административных шаблонов в Конфигурации компьютера и включил его. Перегрузил и обнаружил, что решение оказалось нерабочим
Кстати да. Мне тут на днях электрики в доме отрубили свет и я с такой радости решил обновить винду, которую не обновлял с лета. Каким же было моё удивление, когда Windows Defender, отключенный официальным способом через политики, вдруг снова стал работать
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001
Оказывается, теперь его уже просто так не выключишь. Рубильник в панели управления честно подсказывает, что выключение "временное" (при этом, процесс MsMpEng.exe не выгружается), а выключение Anti-Tampering Protection, которая вроде отвечает за живучесть Defender-а, тоже не помогает. Пришлось резать по живому: грузиться с флешки и физически удалить файлы. Вместо папки C:\ProgramData\Microsoft\Windows Defender я сделал файл с тем же именем с атрибутом R/O, чтобы у обновляльщиков не было соблазна восстановить файлы. Посмотрим, что будет со следующим обновлением.
Кстати, другие настройки "безопасности", типа Edge SmartScreen (т.е. облачная проверка скачиваемых файлов и посещаемых ссылок), выставленные через политики, тоже сбросились в дефолтные значения после большого обновления Windows. Вот такая вот подстава!
В аналогичной ситуации я устанавливал какой-нибудь антивирус - тот же аваст - дефендер тогда отключается, а аваст можно отключить "насовсем". Правда это замещение одной проблемы другой, т.к. сторонний антивирус тоже живёт своей жизнью) Это как-то решается установкой антивируса в минимальном исполнении (только модуль антивируса) и запретом в файрволле доступа в сеть всем исполняемым файлам из папки антивируса. Решение, конечно, костылявое - ну а что поделать? Более красиво установить Windows Server и прямо удалить компонент дефендера. Но это же не всем подходит, да и денег стоит.
Как вариант, собрать свой инсталлятор винды, удалив Defender через DISM.
А может программисты уже придумали что-то вроде FakeAntivirus, или по русски Антивирус-заглушку? Чтобы программа некоторая была, называлась якобы антивирусом, отключала Защитник и при этом ничего не делала? Я не искал, возможно уже есть такое предложение...
Каким же было моё удивление, когда Windows Defender, отключенный официальным способом через политики, вдруг снова стал работать
Это в новых версиях Windows 10 он (Защитник) сопротивляется. На LTSB 2016 (v1607) и LTSC 2019 (v1809) именно таким способом и отключаю.
А меня парит, что съедает полезные тулзы и кряки, причём в этом файл давно жил, пришло обновление и файлы поелись. Какие-нибудь эксплойты для андроида, ELF-ы в ARM-архитектуре. Не говоря о каком-нибудь mimikatz, с ним хотя бы есть логика. Ну и, отправка семплов на анализ. Может аплоадить в микрософт любой открываемый документ, если сочтёт подозрительным.
Microsoft отозвала сертификаты драйверов устройств — последствия для пользователей