计算机在登录时挂在欢迎屏幕

nonote

情况

Symantec Endpoint Protection（SEP）14.0或更高版本的计算机在更新到2017年8月2日的Symantec Data Scanner（SDS）1.4.1引擎后登录时在欢迎屏幕上挂起。

原因

过程csrss.exe（Microsoft的客户端服务器运行时子系统）在登录期间经历无休止的等待，因为当Microsoft的数据执行保护（DEP）被禁用时，未处理的SDS异常。

解

这个问题在2017年8月3日的病毒和间谍软件定义中解决。6或更高版本（序列号：20170803.006）。此更新无法解决已受到影响的系统的问题。对于这些系统，使用一个以下调控措施的：

重新启用DEP

• 以安全模式重新启动受影响的计算机（无网络）
• 打开命令提示符，然后输入以下命令： bcdedit /set {DEFAULT} nx OptIn
• 在正常模式下重新启动计算机
  

注意：DEP与AMD的无执行（NX）或英特尔的执行禁用（XD）CPU功能结合使用，将内存标记为不可执行，除非该位置显式包含可执行代码。它们一起防止恶意代码的相关攻击。如果在Windows中启用了DEP，但是通过物理系统上的BIOS禁用CPU功能，或者通过虚拟化平台上的CPU屏蔽，缺少的依赖关系将阻止DEP运行，同时也会继续发生。

删除不良的SDS定义

• 确保Symantec Endpoint Protection Manager（SEPM）已于2017年8月3日下载。6或更高版本的病毒和间谍软件定义
• 以安全模式重新启动受影响的计算机（无网络）
• 删除文件夹C：\ ProgramData \ Symantec \ Symantec Endpoint Protection \ CurrentVersion \ Data \ Definitions \ SDSDefs下的所有文件和文件夹
• 在正常模式下重新启动计算机
• 允许SEP客户端检索更新的病毒和间谍软件定义
  

（脚本）删除不良的SDS定义

• 确保Symantec Endpoint Protection Manager（SEPM）已于2017年8月3日下载。6或更高版本的病毒和间谍软件定义
• 下载 附加到此知识库文章的SDSDefRemovalScript.zip文件
• 提取SDSDefRemovalScript.zip（密码：Symantec）的内容
• 以安全模式重新启动受影响的计算机（无网络）
• 将SDSDefRemoval.bat文件复制到计算机，然后运行它
• 在正常模式下重新启动计算机
  

手动更新定义

• 下载最新的Intelligent Updater（有关详细信息，请参阅：验证安装了Endpoint Protection客户端类型）
  • 标准客户端（x86）
  • 暗网客户端（x86）
  • 标准客户端（x64）
  • 黑网客户端（x64）
    
• 以安全模式重新启动受影响的计算机（无网络）
• 将智能更新程序复制到计算机，然后运行它
• 在正常模式下重新启动计算机
  

（ITMS部署解决方案仅限客户）半自动SDS定义删除

• 确保Symantec Endpoint Protection Manager（SEPM）已于2017年8月3日下载。6或更高版本的病毒和间谍软件定义
• 在ITMS管理控制台中创建作业（有关其他详细信息，请参阅ITMS部署解决方案文档）
• 设置作业包含以下任务：
  • 启动PXE
  • 使用SDSDefRemoval.bat的文本内容配置Runscript
  • 开始生产
    
• 为一组机器安排此作业
• 重新启动目标机器以触发作业
• 有关此过程的任何其他问题，请联系ITMS部署解决方案支持。
  

链接：https://support.symantec.com/en_US/article.TECH247190.html

SAL

非常及时的好文，给很多企业运维的朋友有参考价值。
同时一大堆的技术名词，顺便还能扩展一下技术眼界。