Trend Micro vydal v pondělí záplatu na opravu problému, který způsobil, že počítače s Windows 10 a Server 2016 nereagovaly po přihlášení

Pokud používáte Trend Micro Worry-Free Business Standard nebo Advanced (verze hostované na serveru, ne cloudové verze), ujistěte se, že jste nainstalovali poslední záplatu vydanou včera. Uvidíte, že počítače s Windows 10, které instalují Creators Update, se po přihlášení zámknou a zdá se, že nemůžete nic dělat, žádná aktivita disku nebo CPU z počítače nepochází. Trend nelze odinstalovat v nouzovém režimu.

Jen jsem si myslel, že by to měli vědět, protože to postihlo 3 naše stroje před vydáním záplaty, museli jsme je všechny přeinstalovat.

Díky /u/djetaine, pokud máte stroj, který již dostal zásah, přidejte DWORD v nouzovém režimu do hklm\software\policies\microsoft\windows defender - DisableAntiSpyware (1). Do nouzového režimu se dostanete podržením levého Shift při přihlášení a restartováním počítače při stisknutí levého Shift s volbami napájení v pravém dolním rohu. Můžete také použít USB s Windows 10 a vstoupit do opravárenských možností.

Postavím to na začátek - Pokud již máte nereagující stroje a nemůžete nainstalovat záplatu. Nouzový režim a přidejte DWORD DisableAntiSpyware s hodnotou 1 do HKLM\Software\Policies\Microsoft\Windows Defender.

Pokud jste nebyli zasaženi a záplatu jste nezavedli, brzy budete. GPO pro deaktivaci Defender co nejdříve.

Kvůli tomuto problému byl dnešní den jedním z nejhorších v kanceláři.

Můj IT tým sestává ze mě, mého bezpečnostního architekta a viceprezidenta. Oba dnes nebyli k dispozici.

Měl jsem problém s TrendMicro skenováním a cyklením skriptu uvnitř interní aplikace, tak jsem minulý týden otevřel ticket u Trend, kteří navrhli aplikovat nějaké záplaty Office Scan.

Ověřil jsem s nimi, že to ani nebude vyžadovat restart a nebude mít žádný vliv na klienty. Zeptal jsem se na to několikrát. Trend věděl o mém prostředí (Win 10)

Dnes jsem nasadil změnu a záplatu. Po dvou minutách se mi na notebooku objevil vyskakovací okno, že je potřeba restartovat pro dokončení aktualizace antiviru. To je špatně, nechtěl jsem takový zážitek, ale co se dá dělat. Poslal jsem e-mail s instrukcemi, že restart je na vás, kdy si přejete.

O deset minut později polovina firmy přišla do kanceláře a říkala, že všechny počítače jsou dole. Velká část naší firmy je velmi aktivní call centrum.

Všechny počítače se náhodně zablokují a stanou se zcela nereagující. Požádal jsem uživatele o tvrdý restart a při přihlašování se zase zamknou.

Obrátím se na scénář revert (vrátit se k předchozímu snapshotu VM), ale bez úspěchu; endpointy již měly aktualizaci a nemohou dostat nic nového.

Řešení? Přihlásit se na každém stroji v nouzovém režimu a ručně přidat hodnotu registry hklm\software\policies\microsoft\windows defender - DisableAntiSpyware (1).

Polovina mých počítačů je UEFI, takže jediný způsob, jak se dostat do nouzového režimu, když se nemohu přihlásit do Windows, je tvrdým resetem dostatečně často k tomu, aby se počítač sám dostal do automatické opravy. 100 počítačů. To byla na hlavu.

K tomu připočtěte, že jakýkoli uživatel v terénu, který byl současně na VPN, také dostal záplatu. Žádný z nich není admin, takže je nemohu provést nouzové spuštění v režimu, aby to vyřešil. Musí poslat své notebooky na servis.

Použil jsem GPO i konfiguraci v mém CM klientovi na deaktivaci Defendera, ale pro ty, kteří ho již dostali, jsou trochu v háji.

Hurá…