Windows 11 (Новости, обсуждение)

[vladimir1949]

Windows 11 получила поддержку мониторов с частотой обновления выше 1000 Гц
13.03.2026 [16:13]

В последних сборках Windows 11, доступных по программе Windows Insider, появилось небольшое, но полезное изменение. В сборках Release Preview 26100.8106 и 26200.8106 Windows 11 теперь поддерживает мониторы с частотой обновления выше 1000 Гц.

Спойлер   :

Microsoft улучшила обработку данных мониторов, использующих DisplayID: через API WMI теперь точнее определяется размер экрана. Это же обновление улучшает стабильность HDR для дисплеев с несовместимыми блоками DisplayID 2.0, исправляет баги при выходе из сна и позволяет контроллеру USB во время него использовать режим пониженного энергопотребления, если дисплей подключен к источнику сигнала посредством разъема USB4.

На рынке пока не так много моделей мониторов с частотой обновления 1000 Гц и выше. При этом большинство из них пока доступны только в Китае. Примерами являются модели Philips Evnia 27M2N5500XD и AOC AGON Pro AGP277QK. Оба оснащены экранами 27 дюймов и позиционируются как двухрежимные мониторы для киберспорта, поддерживающие разрешение 2560 × 1440 пикселей с частотой 540 Гц и 1280 × 720 пикселей для режима 1000 Гц.

В новых сборках Windows 11 Microsoft также обновила страницу «Параметры → Система → О системе», улучшила карточку устройства на главной странице настроек и ускорила загрузку раздела Settings Home. Дополнительно Microsoft обновила «Проводник», также исправила ошибки, связанные с Windows Hello, Voice Access, загрузкой панели задач в безопасном режиме, повысила надёжность предварительного просмотра файлов, загруженных из интернета. Также компания изменила работу функции Smart App Control (SAC). Функцию теперь можно отключить или включить без переустановки Windows (Параметры → Безопасность Windows → Управление приложениями и браузером → Интеллектуальное управление приложениями). При включении функция SAC помогает блокировать ненадёжные или потенциально опасные приложения.

Добавлено  14 марта | 2026г. | 21:58:39
Свежий патч Windows 11 «убивает» доступ к системному диску
14.03.26

Печально известный патч KB5077181 для Windows 11, как оказалось, может вызывать не только цикличную перезагрузку ПК. Судя по новым жалобам пользователей, ещё одной «фичей» обновления в некоторых случаях становится другая, но не менее раздражающая ошибка в работе системы.

По признанию самих разработчиков, в некоторых случаях обновление вызывает ошибку доступа к логическому диску C:, на который, как правило, и установлена ОС. Из-за этого становится невозможным запуск некоторых приложений, включая офисный пакет и браузер.

Проблема затрагивает только сборки Windows 11 25H2 и 24H2. Причина сбоя пока неизвестна, но чаще всего, согласно отчёту Microsoft и отзывам на Reddit, «достаётся» ноутбукам Samsung. В компании не исключают, что проблема кроется в конфликте ОС с утилитой Samsung Share, но окончательного подтверждения пока нет.

В качестве временного решения можно либо удалить проблемный патч через «Центр обновлений», либо сменить владельца системного диска и всего его содержимого в соответствующем меню настроек.

[vladimir1949]

Пользователи массово жалуются на мартовское обновление Windows
17.03.26

Пользователи Windows 11 24H2/25H2 начали жаловаться на мартовское обновление KB507947: из-за него возможны зависания системы, перезагрузки и общая нестабильная работа. Но главная проблема — запрет доступа к диску C. Microsoft подтвердила существование этого бага и сообщила, кого он коснулся.

Спойлер   :

Посты с жалобами появились на Reddit и форуме Microsoft. Например, пользователь под ником Donald Sangster пишет, что после обновления его компьютер «крашился» три раза, и после каждого такого сбоя его нужно перезагружать без возможности сохранить текущие данные. А владельцы Samsung Galaxy Book4 столкнулись с тем, что ОС закрыла доступ к диску C.

Microsoft подтвердила существование проблемы и перечислила список всех затронутых гаджетов Samsung: Galaxy Book4 с индексом NP750XGL, NP750XGJ, NP754XGJ, NP754XGK и NP754XFG, а также системные блоки Samsung Desktop с индексом DM500SGA, DM500TGA, DM501SGA и DM500TDA.

Microsoft утверждает, что баг относится только к устройствам Samsung, связан с приложением Galaxy Connect и возник не только из-за обновления, а по совпадению появился вместе с другими проблемами. Неизвестно, встречался ли этот сбой не на гаджетах Samsung.

Обе компании уже работают над исправлением проблемы доступа к диску C. Массовый характер остальных неполадок пока не подтверждён.

[vladimir1949]

Windows 11 с двумя кнопками «Пуск» — пользователей возмутили ИИ-картинки в материалах Microsoft

Microsoft начала использовать в публикациях Windows Learning Center для Windows 11 изображения, сгенерированные чат-ботом Copilot и снабжённые с подписью AI Art Created via Copilot. На фоне критики из-за навязчивого продвижения ИИ это решение вызвало новый виток недовольства пользователей. Претензии касаются не только самого использования ИИ, но и того, что такие изображения могут не совпадать с реальным интерфейсом операционной системы.

Спойлер   :

Речь идёт о разделе с инструкциями и пояснительными материалами по функциям Windows 11. К концу 2025 года Copilot получил возможности генерации изображений уровня ChatGPT. После этого Microsoft начала применять такие изображения в материалах Learning Center. В 2026 году издание Windows Latest заметило, что почти во всех публикациях Windows Learning Center под встроенными изображениями стоит подпись AI Art Created via Copilot. При этом заглавные изображения, как отмечается, такой пометки не имеют.

Это выглядит как осознанный шаг. Рыночная капитализация Microsoft составляет около $3 трлн. При таком масштабе у компании нет очевидных ограничений для производства обычных рекламных материалов с участием людей. На этом фоне применение ИИ-изображений в материалах о функциях Windows 11 выглядит как ещё один способ продвигать собственный чат-бот.

[vladimir1949]

Мартовское обновление Windows 11 сломало вход в Teams и OneDrive, призналась Microsoft

С мартовским обновлением Windows 11 прекратил корректно работать вход в систему с использованием учётных записей Microsoft в некоторых приложениях компании, в том числе Teams и OneDrive.

Спойлер   :

Сложности со входом в систему появляются после установки накопительного обновления KB5079473, которое Microsoft выпустила на минувшей неделе в рамках программы Patch Tuesday. Из-за ошибки пользователям выводится сообщение, что устройство не подключено к интернету. Помимо Teams и OneDrive, этот сбой возникает в приложениях Microsoft Edge, Excel, Word и Microsoft 365 Copilot, когда пользователь пытается запустить функции, требующие входа в учётную запись Microsoft.

«Из-за этого сбоя при попытке входа в систему будет отображаться сообщение об ошибке с текстом вроде „Для этого вам потребуется интернет. Похоже, вы не подключены к интернету“. Оно появляется, даже если устройство подключено к интернету. <..> Обратите внимание, что эта проблема возникает только при входе в систему с использованием учётных записей Microsoft, которые обычно работают в Microsoft Teams Free. Компании, использующие Entra ID (ранее известный как Azure Active Directory) для входа в приложения, эта проблема не затронет», — говорится на странице поддержки Microsoft.

Примечательно, что сбой исчезает при перезагрузке компьютера, если не отключать интернет. «Эта проблема возникает, когда устройство переходит в определённое состояние сетевого подключения и может решиться сама собой. Если вы столкнулись с этим сбоем, перезагрузите устройство, оставив его подключённым к интернету. Это должно восстановить состояние подключения устройства и не допустить повторного возникновения сбоя. Однако обратите внимание, что если устройство перезагрузить без активного подключения к интернету, оно может снова вернуться в состояние подключения, при котором проблема может возникнуть снова», — пояснили в компании.

После выхода основного обновления Microsoft выпустила также два экстренных для устройств Windows 11 Enterprise — они устраняют проблему с видимостью устройств Bluetooth и несколько уязвимостей в средствах управления службой маршрутизации и удалённого доступа (RRAS). Компания также опубликовала рекомендации по устранению проблем с доступом к системному диску на некоторых ноутбуках Samsung с Windows 11 — сбой возник из-за некорректной работы приложения Samsung Galaxy Connect или Samsung Continuity Service.

[сергей 999s]

Обновление KB5085516 (Build 26100.8039) для Windows 11, версия 24H2 – исправлена проблема входа в приложения через аккаунт Microsoft

Microsoft выпустила внеплановое накопительное обновление KB5085516 для Windows 11 24H2 (2024 Update), которое устраняет проблему входа в приложения через аккаунт Microsoft. Ошибка возникала после обновления «Вторника патчей» за март 2026 года. Как скачать и установить новую сборку Windows 11 (24H2) Build 26100.8039

Спойлер   :

Что нового в Windows 11 (24H2) Build 26100.8039
Улучшения и исправления KB5085516 (Сборка 26100.8039)
Обновление устраняет проблемы, обнаруженные после установки обновления KB5079473 от 10 марта 2026 года.

[Вход с учётной записью Microsoft]
Исправлено: устранена проблема, из-за которой после установки обновления от 10 марта 2026 года и новее некоторые пользователи не могли войти в приложения с учётной записью Microsoft.
Даже при наличии рабочего интернет-соединения отображалась ошибка «нет подключения к Интернету», что блокировало доступ к сервисам и приложениям Microsoft, включая Microsoft Teams (бесплатная версия) и OneDrive.
Примечание: проблема затрагивала только вход с использованием учётных записей Microsoft. Организации, использующие Microsoft Entra ID для аутентификации, не были подвержены этой ошибке.
Обновление KB5085516 распространяется через Центр обновления Windows для устройств с Windows 11, на которых уже установлено обновление KB5079473. Также пакет доступен для ручной загрузки из каталога обновлений Microsoft.

Если вы устанавливали предыдущие обновления, будут загружены и установлены только новые обновления, содержащиеся в этом пакете.

Обновление KB5085516 (Build 26200.8039) для Windows 11, версия 25H2 – экстренный патч устраняет проблемы входа в Microsoft-сервисы

Microsoft выпустила внеплановое накопительное обновление KB5085516 для Windows 11 25H2 (2025 Update), которое устраняет проблему входа в приложения через аккаунт Microsoft. Ошибка возникала после обновления «Вторника патчей» за март 2026 года. Как скачать и установить новую сборку Windows 11 (25H2) Build 26200.8039

Спойлер   :

Что нового в Windows 11 (25H2) Build 26200.8039
Улучшения и исправления KB5085516 (Сборка 26200.8039)
Обновление устраняет проблемы, обнаруженные после установки обновления KB5079473 от 10 марта 2026 года.

[Вход с учётной записью Microsoft]
Исправлено: устранена проблема, из-за которой после установки обновлений от 10 марта 2026 года и новее некоторые пользователи не могли войти в приложения с учётной записью Microsoft.
Даже при наличии рабочего интернет-соединения отображалась ошибка «нет подключения к Интернету», что блокировало доступ к сервисам и приложениям Microsoft, включая Microsoft Teams (бесплатная версия) и OneDrive.
Примечание: проблема затрагивала только вход с использованием учётных записей Microsoft. Организации, использующие Microsoft Entra ID для аутентификации, не были подвержены этой ошибке.
Обновление KB5085516 распространяется через Центр обновления Windows для устройств с Windows 11, на которых уже установлено обновление KB5079473. Также пакет доступен для ручной загрузки из каталога обновлений Microsoft.

Если вы устанавливали предыдущие обновления, будут загружены и установлены только новые обновления, содержащиеся в этом пакете.

[сергей 999s]

Режим питания Windows 11 занижал производительность видеокарты месяцами

Настройка «Сбалансированный» автоматически понижает тактовые частоты процессора и видеокарты. Переключение на «Оптимальную производительность» стабилизирует частоту кадров и убирает подтормаживания

Спойлер   :

Режим питания в Windows 11 по умолчанию выставлен на «Сбалансированный» или «Максимальная эффективность энергопотребления». В таком режиме система автоматически понижает тактовые частоты процессора и видеокарты для задач, не требующих полной мощности. Из-за этого компьютер может месяцами работать с заниженной производительностью — без каких-либо видимых симптомов поломки. Переключение на «Оптимальную производительность» устраняет задержки при наращивании мощности и стабилизирует частоту кадров в играх.

[ Гостям не разрешен просмотр вложений ]

Почему «Сбалансированный» режим занижает производительность
В Windows есть настройка «Режим питания» (Power Mode). Она спрятана в разделе «Система» — «Питание», и большинство пользователей о ней не знают. По умолчанию режим выставлен на «Сбалансированный» или «Максимальная эффективность энергопотребления». Оба варианта автоматически понижают тактовые частоты процессора и видеокарты для задач, не требующих полной мощности, — чтобы снизить нагрев и расход батареи.

Проблема в том, что при запуске игры или ресурсоёмкой задачи видеокарта не выходит на полную мощность мгновенно. Производительность нарастает постепенно. Из-за этой задержки частота кадров скачет, пиковая мощность не достигается, а компьютер субъективно кажется медленнее, чем должен быть.

Режим питания — системная настройка Windows, которая определяет, как операционная система управляет энергопотреблением процессора, видеокарты и других компонентов. Работает поверх классических схем электропитания и переключается в разделе «Система» — «Питание».

Что меняется после переключения
Режим «Оптимальная производительность» (Best Performance) даёт процессору и видеокарте команду работать на повышенных частотах всякий раз, когда это необходимо. После переключения автор статьи отметил следующие изменения:

Частота кадров в играх стала стабильной — случайные подтормаживания и просадки во время динамичных сцен исчезли.
Видеомонтаж и воспроизведение видео стали заметно отзывчивее.
Повседневные задачи, которые раньше подвисали на секунду, теперь выполняются мгновенно.
Ключевым оказался не просто прирост производительности, а его стабильность. Видеокарта перестала «раскачиваться» с задержкой — нужная мощность подаётся сразу.

Как изменить режим питания
Переключение занимает несколько секунд и не требует технических навыков:

[ Гостям не разрешен просмотр вложений ]

Откройте «Настройки» на компьютере с Windows.
Выберите «Система» в левой панели.
Перейдите в раздел «Питание».
Раскройте список «Режим питания».
Выберите «Оптимальная производительность».

На ноутбуках удобна раздельная настройка: «Оптимальная производительность» при питании от сети и «Сбалансированный» при работе от батареи. Так можно получить полную мощность дома и сохранить автономность в дороге.

Стоит учитывать, что режим оптимальной производительности генерирует больше тепла. На старых или перегревающихся ноутбуках лучше вернуться к «Сбалансированному» режиму.

Тактовая частота — скорость, с которой процессор или видеокарта выполняют операции. Чем выше частота, тем больше вычислений в единицу времени. В режиме экономии энергии система принудительно снижает эту частоту.

Другие скрытые настройки, влияющие на производительность видеокарты
Помимо режима питания, есть ещё несколько параметров, которые могут незаметно снижать быстродействие. На компьютерах со встроенной графикой отдельные приложения могут использовать её вместо дискретной видеокарты — в результате пиковая мощность остаётся недоступной.

Обновления драйверов иногда сбрасывают ключевые настройки, тихо возвращая систему в режим пониженной производительности. Проверять режим питания после установки нового драйвера — полезная привычка.

Фоновые приложения — экранные рекордеры, утилиты мониторинга — тоже потребляют ресурсы видеокарты без явных признаков. Их влияние становится заметным при высокой нагрузке.

Дискретная видеокарта — отдельная, более мощная видеокарта с собственной видеопамятью, в отличие от встроенной графики, интегрированной в процессор. На ноутбуках система может автоматически переключаться между ними для экономии энергии.

Какие режимы питания поддерживает Windows 11
Windows 11 по умолчанию предлагает три режима питания:

«Сбалансированный» — пытается найти компромисс между производительностью и энергопотреблением.
«Максимальная эффективность энергопотребления» — снижает производительность ради экономии электроэнергии.
«Оптимальная производительность» — повышает производительность, но увеличивает энергопотребление.
Настройки по умолчанию не всегда оптимальны. Иногда компьютер способен на большее — достаточно изменить один параметр, который раньше оставался незамеченным.

Схема электропитания — набор параметров, определяющих поведение компонентов компьютера при разной нагрузке. Переключение режима питания через «Настройки» доступно только при активной «Сбалансированной» схеме в «Панели управления». Если там выбрана «Высокая производительность» или «Экономия энергии», ползунок режимов в «Настройках» будет заблокирован.

[сергей 999s]

Microsoft запускает принудительное обновление Windows 11 24H2 до 25H2 – переход можно отложить

Microsoft начинает автоматически переводить устройства с Windows 11 версии 24H2 на 25H2 из-за скорого окончания поддержки. Обновление устанавливается как небольшой пакет, но пользователи всё ещё могут отложить или отменить переход, чтобы остаться на текущей версии до конца срока поддержки

Спойлер   :

Windows 11, версия 24H2 приближается к окончанию своего жизненного цикла. Уже в октябре этого года Microsoft прекратит выпуск обновлений для потребительских редакций системы – Домашняя и Pro. Это означает, что пользователи больше не будут получать обновления безопасности, исправления ошибок, техническую поддержку, новые функции и даже обновления часовых поясов. Чтобы сохранить доступ ко всем этим возможностям, необходимо перейти на версию 25H2 – и теперь компания начинает делать это автоматически.

В обновленной документации поддержки Microsoft уведомляет о скором завершении поддержки версии 24H2. Операционная система следует стандартному двухлетнему циклу обновлений, который в данном случае подходит к концу. Для пользователей это означает необходимость перехода на более новую версию, иначе система останется без критически важных обновлений.

Компания сообщает:

Устройства с редакциями «Домашняя» и Pro Windows 11, версия 24H2, которые не управляются IT-отделами, будут автоматически обновлены до версии 25H2. Пользователь сможет выбрать время перезагрузки устройства или отложить установку обновления.

Пока это изменение касается только неуправляемых устройств, т.е. обычных пользовательских компьютеров вне корпоративной среды. Обновление с версии 24H2 до 25H2 представляет собой небольшой активационный пакет, так как обе версии используют общую кодовую базу. Поэтому установка не займет много времени, и, как ожидается, не приведет к сбоям, проблемам совместимости или появлению новых ошибок.

Если не хочется ждать автоматического обновления, его можно установить вручную: для этого нужно открыть «Параметры» > Центр обновления Windows и нажать «Проверить наличие обновлений». Если устройство соответствует требованиям, система предложит установить версию 25H2. При этом обновление с Windows 10 до Windows 11 по-прежнему остается необязательным, несмотря на то что основная поддержка Windows 10 завершилась в прошлом году.

Ранее Microsoft заявляла о планах вернуть пользователям контроль над обновлениями в Windows 11, включая возможность откладывать обновления на более длительный срок.

[Ambro]

Я пользуюсь Microsoft Windows 11 Enterprise LTSC 2024. Как по мне то лучше чем другие редакции. Лишнего хлама нет и активация ключом.

[сергей 999s]

Обновление KB5083631 для Windows 11 повышает производительность системы

Новое обновление KB5083631 для Windows 11 версий 24H2 и 25H2 улучшает скорость работы Проводника, оптимизирует использование памяти и ускоряет загрузку приложений, делая систему более отзывчивой

Спойлер   :

Windows 11, версия 25H2 и Windows 11, версия 24H2 в ближайшее время получат обновление KB5083631, которое должно повысить производительность системы в нескольких ключевых областях.

Ранее в этом году Microsoft подтвердила, что работает над значительными улучшениями Windows 11, в том числе в части производительности. Компания пообещала обновления для Проводника, чтобы он работал быстрее и отзывчивее при переключении между задачами и сценариями использования.

Судя по последней инсайдерской сборке из канала Release Preview, эти заявления подтверждаются: в систему действительно добавляют ряд изменений, направленных на ускорение работы Windows 11.

Предварительные обновления Windows, апрель 2026


ОС Windows   Сборка   Версия   Канал   Обновление   ISO-образы   Доступно
Windows 11   28000.1890   26H1   Preview   KB5083806   N/A   2026-04-17
Windows 11   26200.8313   25H2   Preview   KB5083631   ISO (UUP)   2026-04-17
Windows 11   26100.8313   24H2   Preview   KB5083631   ISO (UUP)   2026-04-17

Одним из главных улучшений станет оптимизация Проводника. Ожидается, что приложение будет запускаться заметно быстрее, что упростит доступ к файлам и папкам. Также повышена надежность процессов explorer.exe – это должно снизить количество ситуаций, когда системные ресурсы остаются занятыми после закрытия окна Проводника, и в целом улучшить управление памятью.

Новая функция предварительной загрузки Проводника в фоновом режиме доступна в меню Подробнее > Параметры > Вид > Включить предварительную загрузку окна для ускорения запуска.

Дополнительно улучшена работа службы оптимизации доставки (Delivery Optimization), отвечающей за загрузку обновлений Windows. Благодаря этому снизится вероятность аномально высокого потребления оперативной памяти.

Улучшения Проводника:
Улучшена согласованность отображения папок: пользовательские настройки (например, сортировка по имени или размер значков) теперь сохраняются и применяются независимо от способа открытия папки. Особенно это полезно в папке «Загрузки» при отключенной группировке по дате.
Улучшена скорость запуска Проводника.
Устранена белая вспышка при запуске в темной теме, если Проводник настроен на открытие папки «Этот компьютер», а также при изменении размера панели сведений.
Добавлена кнопка для принудительного открытия файлов, загруженных из интернета, в панели предпросмотра после предупреждения.
Расширен список поддерживаемых архивных форматов: uu, cpio, xar и пакеты NuGet (nupkg).
Повышена стабильность процессов explorer.exe при закрытии окон.

Другие изменения:
Повышена производительность при переходе к просмотру накопителей на томах большого объёма через Параметры > Система > Хранилище > Дополнительные параметры хранилища > Диски и тома.
Ускорен запуск приложений автозагрузки после включения системы (приложения отображаются в разделе Параметры > Приложения > Автозагрузка).
Ожидается, что все эти изменения войдут в необязательное обновление Windows 11 (C-release) за апрель 2026 год, а также в майский набор обновлений «Вторника патчей» (Patch Tuesday), который состоится 12 мая 2026 года.

[сергей 999s]

Microsoft Defender помечает сертификаты DigiCert в Windows как троян Cerdigent

Обновление сигнатур 1.449.424.0 для Microsoft Defender, встроенного антивируса Windows, ошибочно детектирует корневые сертификаты DigiCert Trusted Root G4 и Global Root CA как Trojan:Win32/Cerdigent.A!dha. Исправление вышло в версии 1.449.430.0

Спойлер   :

3 мая 2026 года пользователи Windows 11 и Windows Server по всему миру столкнулись с массовыми срабатываниями Microsoft Defender, который начал помечать как высокоприоритетную угрозу Trojan:Win32/Cerdigent.A!dha легитимные корневые сертификаты DigiCert. Проблема затронула как домашние ПК, так и корпоративную инфраструктуру с Microsoft Defender for Endpoint и Defender XDR.

Источник проблемы – обновление сигнатур Microsoft Defender версии 1.449.424.0, выпущенное 3 мая 2026 года в 09:03:46 (по данным официального списка изменений Microsoft Security Intelligence). Сразу после его установки антивирус начал детектировать в системном хранилище сертификатов Windows два корневых центра сертификации DigiCert и помещать их в карантин с пометкой «обнаружена вредоносная программа высокой степени серьёзности».

Сигнатура Trojan:Win32/Cerdigent.A!dha в этом обновлении значится в разделе «Updated threat detections» – это не новое правило, а обновлённая версия уже существующей сигнатуры. Вместе с ней Microsoft обновила и сигнатуры семейства Trojan:Win32/Malgent, ориентированные на бинарники, подписанные подозрительными или скомпрометированными сертификатами.

Какие сертификаты затронуло ложное срабатывание
По данным сообщества безопасности и публикаций в Reddit и соцсети X, Defender ошибочно реагирует на два корневых сертификата DigiCert с следующими отпечатками SHA-1:

DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 – DigiCert Trusted Root G4
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 – DigiCert Assured ID Root CA
На скомпрометированных машинах эти сертификаты лежат в реестре Windows в подразделах хранилища SystemCertificates. По данным отчёта администратора в Microsoft Q&A Defender удалил ключи по двум путям:

Код: [Выделить]

Вам не разрешен просмотр кода. Войдите или Зарегистрируйтесь для просмотра.
На конкретной машине пути могут отличаться – один и тот же сертификат может быть зарегистрирован одновременно в подразделах ROOT, AuthRoot и Policies\Microsoft\SystemCertificates\root, и Defender удаляет записи в зависимости от того, где они присутствуют. В журнале событий действие фиксируется как MALWAREPROTECTION_MALWARE_ACTION_TAKEN от процесса MsMpEng.exe, выполняющегося под NT AUTHORITY\SYSTEM.

Удаление этих корневых сертификатов нарушает работу проверки подписи у большой части сайтов и приложений: подписанное ПО, обновления Windows, TLS-соединения с внутренними сервисами и многое другое полагается на цепочку доверия от DigiCert.

Почему это ложное срабатывание, а не реальный троян
Несмотря на пугающую формулировку «Trojan» и высокий уровень серьёзности, признаков реального заражения нет:

Срабатывание происходит одновременно у тысяч пользователей по всему миру в один и тот же день – характерный признак ошибки в сигнатурах, а не вредоносной кампании.
Defender не указывает конкретный путь к файлу или хеш бинарника – детект идёт исключительно по записям реестра с отпечатками сертификатов.
Хеши совпадают с официально опубликованными корневыми сертификатами DigiCert (DigiCert Trusted Root Authority Certificates).
Сторонние антивирусы – Malwarebytes, SentinelOne, Arctic Wolf – на этих машинах ничего не обнаруживают.
Проверка через VirusTotal по отпечаткам сертификатов также не даёт ни одного срабатывания.
На GitHub уже опубликован репозиторий Cerdigent с KQL-запросом для Defender XDR Advanced Hunting, который позволяет отделить ложные срабатывания этого инцидента от реальных событий и оценить масштаб шума в корпоративных тенантах.

Microsoft уже выпустила исправление
Microsoft не опубликовала официального заявления, однако исправление пришло через стандартный механизм обновления сигнатур. По сообщениям пользователей и администраторов:

Версия сигнатур 1.449.430.0 уже не помечает сертификаты DigiCert как вредоносные.
В Microsoft Defender XDR корневые сертификаты автоматически возвращаются в системное хранилище при следующей синхронизации – на корпоративных машинах процесс восстановления уже идёт.
На домашних ПК после установки актуальных сигнатур повторное сканирование проходит чисто.
Промежуточные версии 1.449.424.0 и 1.449.425.0 содержат ошибочную сигнатуру.

Что делать пострадавшим
Если Microsoft Defender уже поместил сертификаты в карантин:

Открыть «Безопасность Windows» > «Защита от вирусов и угроз» > «Обновления защиты» и нажать «Проверить наличие обновлений». Убедиться, что установлена версия сигнатур 1.449.430.0 или новее.

Перейти в «Журнал защиты», найти записи о Trojan:Win32/Cerdigent.A!dha и нажать «Восстановить». Сертификаты вернутся в системное хранилище.
Запустить быстрое сканирование повторно – срабатываний быть не должно.
Если по каким-то причинам обновление ещё не пришло, на сайте Microsoft Security Intelligence можно вручную скачать актуальный пакет сигнатур (mpam-fe.exe) и установить его до автоматического обновления.

Полная переустановка Windows в этом случае бессмысленна – на чистой системе сертификаты DigiCert присутствуют изначально, и Defender со старыми сигнатурами тут же снова поставит их в карантин. Достаточно дождаться обновления сигнатур.

Откуда взялась сигнатура Cerdigent
Cerdigent ловит активность, связанную с инцидентом компрометации в DigiCert. Полный отчёт опубликован в Bugzilla 2033170 и содержит детальную хронологию атаки на службу поддержки центра сертификации.

2 апреля 2026: атакующий связался со службой поддержки DigiCert через чат Salesforce и под видом скриншотов отправил ZIP-архивы с исполняемым файлом .scr внутри. Четыре попытки доставки заблокировал CrowdStrike, пятая скомпрометировала рабочую станцию ENDPOINT1 аналитика поддержки. Среди запущенных бинарников отчёт упоминает k3.exe, updat.exe, uuu.exe, VideoManager.exe.
3 апреля 2026: команда Trust Operations DigiCert обнаружила инцидент через срабатывания CrowdStrike, изолировала ENDPOINT1, удалила вредоносные процессы и записи реестра. Расследование на этом этапе сочло инцидент локализованным.
4 апреля 2026: через тот же вектор был скомпрометирован ENDPOINT2 второго аналитика. Из-за неработающего датчика CrowdStrike на этой машине компрометация осталась незамеченной до 14 апреля. Атакующий получил доступ к внутреннему саппорт-порталу и через функцию proxy-доступа к учётным записям клиентов начал извлекать коды инициализации (initialization codes) для одобренных, но ещё не выданных EV Code Signing сертификатов. Authentication-сессия Okta FastPass с скомпрометированной машины удовлетворяла требования MFA без второго фактора.
5 апреля 2026: DigiCert получила первый отчёт от стороннего исследователя о подозрительном сертификате.
5–14 апреля 2026: на DigiCert поступали повторяющиеся отчёты о сертификатах, использованных для подписи вредоносного ПО. Поначалу они проходили как стандартные certificate problem reports, без связки в общий инцидент.
14 апреля 2026: Support Leadership подключила Trust Operations к расширенному расследованию. Был обнаружен пробел в покрытии CrowdStrike на ENDPOINT2 и факт его компрометации. В этот же день DigiCert замаскировала коды инициализации в proxy-сессиях саппорт-портала (UI-уровень) и отключила Okta FastPass для портала.
14–17 апреля 2026: отозваны 60 сертификатов подписи кода, выпущенных через промежуточные центры DigiCert Trusted G4 Code Signing RSA4096 SHA256 2021 CA1, SHA384 2021 CA1, а также GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1 и Verokey High Assurance Secure Code EV. 27 из них явно связаны с действиями атакующего, ещё 33 отозваны как мера предосторожности.
Отозванные сертификаты использовались для подписи вредоносного ПО семейства Zhong Stealer – это подтверждено в самом отчёте DigiCert. Список IP-адресов, с которых атакующий устанавливал сертификаты: 82.23.186.8, 154.12.185.32, 45.144.227.12, 203.160.68.2, 154.12.185.30, 62.197.153.45, 45.144.227.29.

Сигнатура Trojan:Win32/Cerdigent.A!dha, судя по всему, была обнолвена именно в ответ на этот инцидент – 3 мая 2026 года, в составе обновления 1.449.424.0. Задумка понятная: заблокировать всё, что было подписано отозванными сертификатами. На практике правило получилось слишком общим и затронуло не скомпрометированные сертификаты подписи кода, а корневые сертификаты DigiCert, от которых эта самая подпись и проверяется.

Это уже не первый случай, когда сигнатурный движок Defender ошибочно реагирует на легитимный код. Текущий инцидент с Cerdigent отличается масштабом – сертификаты DigiCert установлены практически на всех Windows-системах, поэтому ложное срабатывание стало глобальным в течение нескольких часов после выхода обновления 1.449.424.0.

Для крупных тенантов Microsoft Defender for Endpoint рекомендуется временно добавить отпечатки DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 и 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 в исключения, если есть риск повторных срабатываний на машинах, которые ещё не получили версию 1.449.430.0.