事件回顾:全球范围内的误报风波
2026年5月4日,全球各地的 Windows 系统管理员突然发现了一个令人困惑的现象:Microsoft Defender 开始将多个 DigiCert 根证书标记为 Trojan:Win32/Cerdigent.A!dha 恶意软件,并自动将这些证书从 Windows 信任存储中删除。
这一事件的影响范围极广。DigiCert 是全球最权威的数字证书颁发机构之一,其根证书被预装在所有主流操作系统和浏览器中。当 Defender 将这些根证书误判为恶意软件并删除后,依赖于这些证书的所有 HTTPS 连接、代码签名验证和驱动程序加载都会受到影响——后果可能是浏览器报出大量安全警告、企业内部应用无法运行、甚至系统服务异常。
| 影响维度 | 具体表现 | 严重程度 |
|---|---|---|
| 浏览器访问 | 使用 DigiCert 证书的 HTTPS 网站出现安全警告 | 中等 |
| 代码签名验证 | 由 DigiCert 签名的正规软件被系统拒绝运行 | 严重 |
| 驱动程序加载 | 使用 DigiCert 签名的企业驱动无法加载 | 严重 |
| 企业内部系统 | IIS、Exchange 等依赖证书的服务的通信异常 | 严重 |
原因分析:为什么会发生如此大规模的误报?
根据多家安全机构的分析,此次误报事件的直接原因是 Microsoft Defender 的安全情报更新(Security Intelligence Update)中引入了错误的特征匹配规则。具体来说:
- 特征库规则错误:Defender 的安全情报更新中,某个版本的特征库将 DigiCert 根证书文件的特定字节特征与已知恶意软件的特征码产生了错误匹配,导致合法的证书文件被误判为
Trojan:Win32/Cerdigent.A!dha。 - 自动响应加剧问题:Defender 的默认配置会在检测到"恶意软件"后自动隔离或删除文件。对于根证书而言,这意味着 Defender 直接将证书从 Windows 证书存储中移除,而不仅仅是隔离文件。
- 更新分发速度快:Microsoft 的安全情报更新通过 Windows Update 和 Defender 的自动更新机制快速推送到全球数亿台设备,导致误报在数小时内覆盖了大量企业环境。
DigiCert 官方在事件发生后迅速发表声明,确认其证书本身是安全可信的,问题完全出在 Microsoft Defender 的检测逻辑上。Microsoft 也在数小时内推送了修复版本的安全情报更新。
IT 管理员的应急处置步骤
如果您的企业环境受到了此次误报事件的影响,建议按以下顺序进行处置:
第一步:确认当前 Defender 安全情报版本
在受影响的系统上,打开 PowerShell(以管理员身份运行),执行:
Get-MpComputerStatus | Select-Object -Property AntispywareSignatureVersion,AntivirusSignatureVersion,NTAMSignatureVersion
如果版本号对应的是 2026年5月4日发布的版本,且系统出现了证书相关异常,则很可能受到了此次误报的影响。
第二步:更新 Defender 安全情报(修复检测逻辑)
# 以管理员身份运行 PowerShell Update-MpSignature
Microsoft 已在 UTC 时间5月4日晚些时候推送了修复版本。更新完成后,Defender 将不再误报 DigiCert 根证书。
第三步:恢复被删除的 DigiCert 根证书
仅更新 Defender 定义库并不能自动恢复已被删除的证书。需要手动重新导入 DigiCert 根证书:
- 访问 DigiCert 官方根证书页面,下载需要的根证书(通常为
.cer或.crt格式)。 - 以管理员身份运行 MMC(微软管理控制台),添加"证书"管理单元,选择"计算机账户"。
- 在"受信任的根证书颁发机构"→"证书"中,右键选择"所有任务"→"导入",将下载的 DigiCert 根证书导入。
- 对于大规模企业环境,可以通过组策略(GPO)或 Intune 批量推送根证书。
第四步:验证系统功能恢复正常
- 打开浏览器,访问使用 DigiCert 证书的 HTTPS 网站,确认不再出现安全警告。
- 检查依赖代码签名的软件是否能正常运行。
- 对于企业内部的 IIS 或 Exchange 服务,确认 SSL/TLS 通信是否正常。
防御性建议:如何降低类似事件的影响?
此次事件再次提醒我们,安全软件的自动更新机制本身也可能成为运维风险源。作为 IT 管理员,可以采取以下措施降低类似事件的影响:
1. 建立 Defender 更新的延迟审批机制
对于企业环境,建议通过 Microsoft Endpoint Configuration Manager(MECM)或 Intune 设置 Defender 安全情报更新的延迟审批策略——例如延迟24-48小时再推送到生产环境,利用这段时间观察是否存在已知问题。
2. 监控 Defender 的隔离事件
建立日志监控规则,当 Defender 在短时间内大量隔离文件(特别是在多台设备上同时出现类似隔离行为)时,立即触发告警。这有助于在误报事件扩散前及时发现并介入。
3. 维护关键证书的备份
将企业所依赖的所有根证书和中间证书导出并妥善备份。这样即使被意外删除,也可以快速恢复,而不需要临时去互联网下载。
4. 建立"安全软件引发的故障"应急预案
许多企业的应急预案只考虑了恶意软件攻击、硬件故障和自然灾害,却忽略了"安全软件自身出问题"的场景。建议将此类场景纳入应急预案,并定期进行演练。
总结
Microsoft Defender 误报 DigiCert 根证书事件,虽然持续时间不长(Microsoft 在数小时内发布了修复更新),但其影响范围之广、处置难度之大,值得每一位 IT 管理员深思。安全软件是防御体系的重要组成部分,但它本身也需要被审慎管理,而不是无条件地信任和自动更新。
如果您在此次事件中遇到了棘手的处置问题,或者希望我们协助建立更完善的 Defender 更新管理策略,欢迎通过网站留言板联系我们,我们将竭诚为您提供专业的技术支持。