我要评论科技媒体 borncity 昨日(12 月 15 日)发布博文,报道称微软于 2025 年 12 月 9 日发布的累积更新 kb5072033 被曝存在 bug,导致 windows 11(24h2/25h2)及 windows server 2025 系统 defender 状态查询失效。
大量系统管理员发现,在安装补丁后,用于检查杀毒软件状态的核心指令 get-mpcomputerstatus 彻底失效。与常见的报错不同,该故障表现为“完全静默”,执行命令后既不显示错误代码,也不返回任何结果,导致脚本无法获取 windows defender 的实时运行数据。
这一故障对企业级网络环境造成了实质性冲击。
援引博文介绍,该博客读者 othmar g. 反馈,其所在公司的 it 部门在 12 月 15 日发现了该问题。
该公司使用 forti ems 客户端配合 ztna(零信任网络访问)标签来管理设备接入权限,系统会自动调用 powershell 检查每台电脑的 defender 是否正常运行。
由于更新后的命令返回为空,安全系统误判这些设备“未开启防护”,随即触发风控规则,强制隔离大量正常运行的办公设备,阻断了其网络访问权限。
值得注意的是,这并非 windows defender 服务本身的崩溃。用户在操作系统的图形用户界面(gui)中查看安全中心时,一切显示均为“正常(ok)”。
技术分析认为,问题根源在于更新导致负责向 powershell 提供数据的底层“提供程序(provider)”注册失效或丢失,意味着虽然杀毒软件在后台正常工作,但操作系统丢失了向外部汇报其状态的“通讯接口”,从而造成了管理层面的“盲人摸象”。
针对此问题,社区已挖掘出有效的临时解决方案。
受影响的用户或管理员只需以“管理员身份”打开命令提示符(cmd),并执行以下命令:
"%programfiles%\windows defender\mpcmdrun.exe" -resetplatform
该指令会强制重置 windows defender 的平台配置,并重新注册丢失的数据接口。
据测试,执行重置后仅需数秒,powershell 的状态查询功能即可恢复正常,被误隔离的设备也能重新通过 ztna 安全验证。
发表评论