Kā noņemt WinRing0 no Windows un noteikt, vai tas patiesībā ir vīruss

Sīkrīku jaunumi » vispārējs » Konsultācijas » Kā noņemt WinRing0 no Windows un noteikt, vai tas patiesībā ir vīruss

Ja izmantojat operētājsistēmu Windows 10 vai Windows 11 un pēkšņi saņemat Microsoft Defender brīdinājumu par kaut ko, ko sauc par HackTool:Win32/WinRing0 vai VulnerableDriver:WinNT/Winring0.GIr normāli baidīties un domāt, ka datorā ir nopietns Trojas zirgs. Situāciju vēl vairāk pasliktina tas, ka jūsu uzraudzības rīki, ventilatori vai RGB apgaismojums, iespējams, pēkšņi ir pārstājuši darboties.

Pirmā lieta, kas jums jāzina, ir tā, ka vairumā gadījumu, Šis nav tipisks vīruss, kas inficē failus vai šifrē jūsu disku.Drīzāk tas ir draiveris ar zināmu ievainojamību, ko Windows ir agresīvi bloķējis. Tas nenozīmē, ka tas ir pilnīgi nekaitīgs, taču tas būtiski maina jūsu pieeju tam un lēmumu pieņemšanu par to, vai ir vērts to paturēt aktīvu vai nē.

Kas ir WinRing0 un kāpēc Windows Defender to nosaka kā apdraudējumu?

WinRing0 ir a zema līmeņa aparatūras piekļuves kontrolieris Tas gadiem ilgi tiek izmantots daudzās datoru uzraudzības un vadības lietojumprogrammās. Tā ir bibliotēka/draiveris, kas ļauj programmai gandrīz tieši sazināties ar Windows kodolu un noteiktiem mātesplates komponentiem, apejot daudzus parastos aizsardzības slāņus.

Pateicoties šai dziļajai piekļuvei, WinRing0 ir kļuvis ļoti populārs trešo pušu lietojumprogrammu vidū. Viņiem ir jānolasa sensori, jāpārvalda ventilatoru ātrumi, jākontrolē RGB apgaismojums vai precīzi jāpielāgo sistēmas parametri. Tā ir viena no nedaudzajām bezmaksas un atvērtā pirmkoda iespējām, kas nodrošina šāda veida ciešu mijiedarbību ar aparatūru.

Problēma ir tā, ka 2020. gadā WinRing0 draiveris tika norādīts kā drošības ievainojamība CVE-2020-14979Šī ievainojamība ļauj jebkurai lietojumprogrammai (pat bez administratora privilēģijām) pieprasīt atļauju lasīt vai rakstīt aizsargātās sistēmas atmiņas zonās pēc draivera ielādes sistēmā, paverot durvis privilēģiju eskalācijai vai kritisku procesu manipulēšanai.

Šī iemesla dēļ Microsoft ir nolēmis, ka Defender tiek atzīmēti neparakstīti vai nedroši WinRing0 draiveri kā potenciāli bīstama programmatūra, kas parādās tādos noteikšanas darbos kā Hacktool:Win32/Winring0 vai VulnerableDriver:WinNT/Winring0.G. No tehniskā viedokļa noteikšana ir likumīga: draiverim ir reāla ievainojamība, un to var ļaunprātīgi izmantot ļaunprogrammatūra.

Tas nenozīmē, ka jūsu konkrētā WinRing0 kopija ir vīruss, bet gan to, ka Tam ir iespējas, ko varētu izmantot ļaunprogrammatūra.Līdz ar to rodas apjukums: gan likumīgais vadītājs, gan noteikti draudi, kas maskējas aiz tā, lai paliktu nepamanīti, lieto vienu un to pašu nosaukumu.

Lietojumprogrammas un rīki, kas ir atkarīgi no WinRing0

Viens no iemesliem, kāpēc šī problēma ir radījusi tik daudz trokšņa, ir tas, ka Daudzas populāras lietojumprogrammas ir atkarīgas no WinRing0 lai darbotos pareizi. Līdz ar Microsoft Defender politiku pastiprināšanu, tās visas ir cietušas no atklāšanas, bloķēšanas un dīvainas uzvedības lietotāju datoros.

Starp visvairāk skartajiem rīkiem ir daudzas aparatūras uzraudzības programmas, spēles un RGB vai ventilatoru pārvaldības utilītas. Dažādos ziņojumos un liecībās ir minēts, piemēram, CapFrameX, EVGA Precision X1 (vecākas versijas), FanCtrl, HWiNFO, Libre Hardware Monitor, MSI Afterburner, Open Hardware Monitor, OpenRGB, OmenMon, Panorama9, SteelSeries Engine vai ZenTimings, starp daudziem citiem.

Arī daži ražotāja komplekti WinRing0 iepriekš ir izmantots perifērijas ierīču un spēļu aprīkojuma pārvaldībai. Forumos redzams reāls piemērs, kurā lietotājs bija integrējis draiveri fonā darbojošās Razer Synapse lietotnē, neļaujot Windows Defender to tieši izdzēst, jo fails vienmēr bija atzīmēts kā "tiek lietots".

Citā scenārijā cits lietotājs paskaidroja, ka WinRing0 bija svarīgi pieejamības lietojumprogrammai Viņam acu veselības apsvērumu dēļ bija nepieciešams īslaicīgi atspējot balansēšanu. Bez šī draivera viņš burtiski nevarēja lietot savu klēpjdatoru, un Defender to izdzēsa vai bloķēja, nedodot viņam iespēju to viegli atjaunot.

Tas viss izraisa pēkšņu situāciju pēc Defender definīciju atjaunināšanas, Daudzi lietotāji ir atklājuši, ka viņu iecienītākie rīki pārstāj startētiesTā ventilatori sāk nekontrolējami griezties ar maksimālo ātrumu vai RGB apgaismojums kļūst nekonfigurēts, jo centrālais draiveris, kas to visu vada, ir ievietots karantīnā.

Reāli drošības riski: ievainojamība pret vīrusu

Ir ērti labi atdalīt jēdzienus: WinRing0 nav izspiedējvīruss vai tipisks banku Trojas zirgsTomēr tas ir ievainojams kontrolieris, ko ļaunprogrammatūra var izmantot, lai vieglāk pārņemtu sistēmas kontroli, nekā tai vajadzētu atļaut.

Kad WinRing0 ir ielādēts sistēmā, tas piedāvā neierobežota piekļuve aizsargātiem resursiemTas ļauj jebkuram procesam dot norādījumus draiverim lasīt vai rakstīt kritiskās atmiņas adresēs, tostarp apgabalos, kur atrodas citi procesi, slepenie dati, pagaidu paroles vai pat iekšējās Windows kodola struktūras.

No drošības viedokļa tas ir īpaši satraucoši, jo Tas nojauc vienu no pamata barjerām, kas aizsargā WindowsLietotāja telpas un kodola telpas atdalīšana. Izmantojums, kas ļaunprātīgi izmanto WinRing0, var apiet daudzas standarta aizsardzības, neapdraudot pašu operētājsistēmu.

Tāpēc Microsoft ir izvēlējies izturēties pret neparakstītām vai neaizsargātām WinRing0 versijām kā pret "hakeru rīks" vai bīstams draiverisUn tā paša iemesla dēļ daudzi eksperti iesaka no tā izvairīties, kad vien iespējams, vai vismaz ierobežot to ļoti specifiskās un kontrolētās situācijās, piemēram, laboratorijas iekārtās vai vidē, kur tiek pieņemts risks.

Tomēr fakts, ka Defender atzīmē WinRing0, automātiski nenozīmē, ka jūsu paroles ir nozagtas, ir instalēts taustiņu reģistrētājs vai jūsu faili ir šifrēti.Vairumā gadījumu noteikšana notiek tāpēc, ka jau instalēta likumīga lietojumprogramma izmanto šo draiveri, un mainījušies ir Microsoft kritēriji, nevis jūsu rīcība.

Kāpēc Windows to tagad bloķē, un kāda tam ir saistība ar CrowdStrike?

Daudzi cilvēki ir brīnījušies, kāpēc, ja WinRing0 jau gadiem ilgi ir bijis ievainojams, Aizsargs tagad ir sācis to tik agresīvi bloķēt.Nav vienas oficiālas atbildes, taču ir vairākas norādes, kas palīdz izprast kontekstu.

No vienas puses, Microsoft ir pastiprinājis savu kodola draiveru drošības politikasPēc tādiem ietekmīgiem incidentiem kā CrowdStrike pārkāpums, kura dēļ drošības atjauninājuma problēmas dēļ sistēmas visā pasaulē tika izslēgtas, ir pieaudzis spiediens ierobežot, kāda veida programmatūra var darboties ar tik dziļām privilēģijām.

Turklāt jau vairākus gadus Microsoft ir pieprasījis, lai Draiveri, kas piekļūst kodolam, ir digitāli parakstīti izmantojot īpašu kodola parakstīšanas sertifikātu. Lai iegūtu šo sertifikātu, ir jābūt atzītam uzņēmumam un jāmaksā par parakstu, kas rada atkārtotas izmaksas, kas ir pārvaldāmas lieliem uzņēmumiem, bet sarežģītas daudziem atvērtā pirmkoda projektiem.

WinRing0, kas ir bibliotēka ar atvērtā koda un plaši izmantotsTam ir veikti ielāpi un uzlabojumi, taču katra jaunā versija ir jāpārskata un jāparaksta, lai Windows to uzskatītu par uzticamu. Pēc dažādu izstrādātāju domām, pēdējos gados tas ir vairākkārt ielāpots, taču situācija kļūst nepieņemama, ja Microsoft nolemj pārtraukt jaunu versiju parakstīšanu vai uzskata draivera pamatā esošo filozofiju par pārāk riskantu.

Patiesībā pats Microsoft ir atzinis, ka ir informēts par ziņojumiem par spēļu lietotnēm un uzraudzību atzīmēts kā apdraudējums neparakstītu WinRing0 versiju izmantošanas dēļ. Lai gan viņi apgalvo, ka turpina izmeklēšanu, viņi ir arī skaidri norādījuši, ka Defender turpinās uzskatīt neparakstītus draiverus par apdraudējumu un ka viņi pārskata noteikšanas loģiku, lai izvairītos no viltus pozitīviem rezultātiem, taču neatsakoties no ilgtermiņa aizsardzības.

Ietekme uz lietotājiem: traki ventilatori, bojāts RGB apgaismojums un lietotnes, kas netiek palaistas

Visredzamākais efekts vidusmēra lietotājam ir tas, ka vienas nakts laikā Daudzi aparatūras vadības rīki pārstāj darbotiesDefender atrod WinRing0, ievieto karantīnā vai izdzēš to, un, to darot, tas pārtrauc daļas šo programmu darbības apturēšanu.

Dažās sistēmās, tiklīdz WinRing0 pazūd, ventilatori pārslēdzas uz griezt ar maksimālo ātrumu bez regulēšanasjo lietojumprogramma, kas tos pārvaldīja, vairs nevar sazināties ar sensoriem vai mātesplates kontrolieri. Citos gadījumos RGB apgaismojums sasalst vai kļūst nekonfigurēts, vai arī skartās lietotnes vienkārši aizveras, tiklīdz tās tiek atvērtas.

Ir arī gadījumi, kad lietotāji, ieraugot Defender brīdinājumu ar tādiem satraucošiem nosaukumiem kā VulnerableDriver:WinNT/Winring0.G vai Hacktool:Win32/WinRing0, ir domājuši, ka Viņa datoru bija apdraudējis īpaši progresīvs Trojas zirgs.Daži pat ir apsvēruši Windows atkārtotu instalēšanu no jauna, baidoties no attālinātas piekļuves, taustiņu reģistrētājiem un citiem murgiem.

Forumos ziņots par gadījumu, kad lietotājs pamanīja noteikšanu failā, kas saistīts ar Razer programmatūru, mēģināja to izdzēst, bet Windows neļāva viņam to izdarīt, jo to "izmantoja" cita programma. Defender atkārtoti mēģināja to noņemt, bet neveiksmīgi. Tikai tad, kad Es manuāli aizvēru saistīto procesu no uzdevumu pārvaldnieka.Antivīrusam izdevās izdzēst failu, un problēma pazuda.

Citā liecībā pēc acīmredzami bloķēta attālās piekļuves mēģinājuma lietotājs saskārās ar WinRing0 noteikšanu un domāja, ka viņam ir augsta līmeņa Trojas zirgs. Viņš ieslēdza datoru drošajā režīmā un veica pilnu skenēšanu.Viņi pat nopietni apsvēra sistēmas formatēšanu. Lai gan šādos gadījumos vienmēr ieteicams ievērot piesardzību, nebija obligāti jāiet tik galējībā, ja faktiskais cēlonis bija labi pazīstama rīka draiveris.

Iespējas turpināt lietot savas programmas: izņēmumi un alternatīvas

Ja jums absolūti nepieciešama kāda no skartajām lietojumprogrammām (piemēram, uzlabots uzraudzības rīks, ventilatora kontrolieris, RGB programmatūra vai pat kritiski svarīga pieejamības lietotne), jums ir vairākas iespējas, katrai no kurām ir savas sekas. Nav ideāla risinājumabet dažādi veidi, kā līdzsvarot risku un komfortu.

Pirmais variants ir pārbaudiet pašas lietojumprogrammas atjauninājumusDaži izstrādātāji ir sākuši izlaist jaunas versijas, kas likvidē WinRing0 vai aizstāj to ar patentētu vai citu draiveri, lai gan daudzos gadījumos tas prasa vairākus mēnešus ilgu darbu un ievērojamas izmaksas.

Piemēram, SignalRGB paskaidroja, ka Viņi pārtrauca lietot WinRing0 2023. gadā. Viņi izstrādāja savu SMBus kontrolieri tieši tāpēc, lai izvairītos no sistēmas līmeņa draivera izmantošanas, kas varētu būt ievainojams vai konfliktēt ar citām programmatūras versijām. Viņi paši atzīst, ka process bija sarežģīts un prasīja ievērojamus inženiertehniskos resursus.

Vēl viena iespēja ir pāriet uz alternatīviem rīkiem kas vairs nav atkarīgas no WinRing0. Ir aparatūras uzraudzības un pārvaldības utilītas, kas ir pielāgojušās jaunajām kodola parakstīšanas prasībām un ir migrējušas uz citiem draiveriem, lai gan dažreiz tās šajā procesā zaudē dažas uzlabotas funkcijas.

Treškārt, daži izstrādātāji un lietotāji iesaka, ar daudzām atrunām, Pievienot izņēmumu pakalpojumā Microsoft Defender lai WinRing0 varētu turpināt darboties. Šī opcija ietver risku, ka sistēmā saglabāsies neaizsargāts draiveris, tāpēc tā ir rūpīgi jāapsver, īpaši datoros ar sensitīvu informāciju vai tiem, kas nepārtraukti ir pakļauti internetam.

Kā pievienot WinRing0 izņēmumu pakalpojumā Microsoft Defender (uz savu atbildību)

Pirms iedziļināšanās detaļās ir svarīgi uzsvērt, ko Microsoft oficiāli paziņo: Jebkuras izmaiņas, kas samazina drošību vai atspējo aizsardzības mehānismus, ir rūpīgi jāizvērtē.Šie pasākumi var būt noderīgi kā pagaidu risinājums konkrētai problēmai, taču tie vienmēr ir saistīti ar papildu riska uzņemšanos.

Ja nolemjat turpināt, jo jums absolūti nepieciešama lietojumprogramma, kas izmanto WinRing0 (piemēram, lai kontrolētu ventilatorus datorā, kas pārkarst, vai pieejamības prasību dēļ), varat Pievienot izņēmumu programmā Microsoft Defender Antivirus lai tas pārtrauktu saistītā faila vai mapes bloķēšanu.

Vispārīgās darbības operētājsistēmās Windows 10 un Windows 11 ir šādas:

• Atveriet lietotni Windows drošība no Sākt > Iestatījumi > Atjaunināšana un drošība > Windows drošība vai meklējot to izvēlnē Sākt.
• Galvenajā panelī ievadiet sadaļu Aizsardzība pret vīrusiem un draudiem.
• Vīrusu un draudu aizsardzības iestatījumu sadaļā noklikšķiniet uz Pārvaldīt iestatījumus.
• Ritiniet uz leju, līdz sasniedzat bloku Izņēmumi un atlasiet “Pievienot vai noņemt izņēmumus”.
• Noklikšķiniet uz Pievienojiet izslēgšanu Pēc tam izvēlieties, vai vēlaties izslēgt konkrētu failu, visu mapi vai procesu. Pēc tam atlasiet vienumu, kas saistīts ar WinRing0 vai skarto lietojumprogrammu.

Kopš tā brīža Aizstāvis pārtrauks analīzi un bloķēšanu ko esat iekļāvis izslēgšanas sarakstā. Tas var atrisināt jūsu aparatūras rīku darbības problēmas, taču tas arī rada aklo zonu jūsu drošībā, tāpēc tas jādara tikai tad, ja precīzi zināt, ko un kāpēc izslēdzat.

Ja jums ir šaubas par to, vai atklātais drauds patiešām ir tikai neaizsargātais draiveris vai arī jūsu sistēmā varētu būt kaut kas cits, prātīgāk ir rīkoties šādi. paļauties uz papildu analīzi Papildus citiem ļaunprogrammatūras apkarošanas risinājumiem pārskatiet nesen instalētās programmas un, ja nepieciešams, meklējiet palīdzību specializētos forumos, pirms fiziski atverat durvis potenciālai ļaunprogrammatūrai.

Ko darīt, ja Defender neizdzēš WinRing0 vai to pastāvīgi atrod

Dažos gadījumos Windows Defender var atkārtoti mēģināja noņemt WinRing0 bez panākumiem jo failu fonā izmanto programma. Tas izraisa brīdinājumu un dzēšanas mēģinājumu ciklu, kas ne pie kā neved, kamēr lietotājs atkārtoti redz aktīvu draudu brīdinājumu.

Visbiežākais iemesls ir tāds, ka lietojumprogramma, kas izmanto draiveri, pašlaik ir atvērta vai tai ir pieejams pastāvīgs pakalpojums. Šādā situācijā Programma un ar to saistītie procesi ir jāaizver manuāli. pirms antivīruss var darboties. To var izdarīt, izmantojot uzdevumu pārvaldnieku:

• Atveriet Uzdevumu pārvaldnieks (Ctrl+Shift+Esc vai ar peles labo pogu noklikšķiniet uz uzdevumjoslas > Uzdevumu pārvaldnieks).
• Atrodiet saistītās lietojumprogrammas (piemēram, Razer programmatūras, RGB rīku utt.) galveno procesu un pārtrauciet to.
• Pārbaudiet arī fona procesu cilni, ja ar to pašu programmu ir saistīti pakalpojumi.

Kad esat apturējis visu, kas ir atkarīgs no WinRing0, atgriezieties pie Palaidiet skenēšanu un noņemšanu no DefenderVairāk nekā vienā atsauksmē tas ir ļāvis pretvīrusu programmai notīrīt noteikšanu, bez nepieciešamības pārinstalēt Windows vai darīt kaut ko radikālāku.

Ja noteikšana atkārtojas, lietojumprogramma var atgriezties pie pārinstalēt vai atjaunot draiveri katru reizi, kad tā tiek startēta. Tādā gadījumā jums būs jāizlemj, vai vēlaties pilnībā atinstalēt programmu, meklēt atjauninātu versiju, kas neizmanto WinRing0, vai izmantot izslēgšanas metodi (uzņemoties risku), lai izvairītos no šī pastāvīgā konflikta.

Atsauksmes Microsoft un izstrādātāju nostāja

Izmaiņas WinRing0 apstrādē ir radījušas ievērojamas bažas izstrādātāju un pieredzējušu lietotāju vidū, jo Tas tieši ietekmē gandrīz visu aparatūras uzraudzības un vadības ekosistēmu. no trešajām pusēm, īpaši atvērtā pirmkoda projektiem, kas balstās uz šāda veida draiveriem.

Tādu rīku kā HWiNFO vai Fan Control izstrādātāji ir paskaidrojuši, ka Draiveru maiņa nav vienkāršs neliels atjauninājums.taču tas ietver lielas programmas daļas pārtaisīšanu, kas prasa ievērojamas laika un naudas izmaksas, un tas viss pēc daudzu gadu darba un reputācijas, kas veidota, pateicoties šiem rīkiem.

Microsoft ir tikai komentējis, ka Viņi ir informēti par ziņojumiem par viltus pozitīviem rezultātiem. Viņi atkārtoti izvērtē noteikšanas loģiku, lai to pilnveidotu, taču vienlaikus uzstāj, ka neparakstīti vai potenciāli neaizsargāti draiveri arī turpmāk tiks uzskatīti par draudiem, lai samazinātu ilgtermiņa risku.

Reaģējot uz šo situāciju, ir parādījies neparasts spēlētājs: iBuyPower, uzņēmums, kas pazīstams ar saviem iepriekš saliktajiem spēļu datoriem. Saskaņā ar tā produktu direktora teikto, Viņi mēģina iegūt atjauninātu WinRing0 versiju, ko digitāli parakstījis Microsoft.Viņu ideja ir tāda, ka, ja viņiem izdosies, viņi kopīgos šo parakstīto bibliotēku ar izstrādātāju kopienu, lai viņi varētu izplatīt savu lietojumprogrammu versijas ar validētu draiveri.

Pat ja šī parakstītā versija tiktu saņemta, pamatproblēma joprojām pastāvētu: WinRing0 saglabātu savu pamatdizaini, kas paredz ļoti plašu piekļuvi kodolam.Tāpēc, pat ja ļaunprogrammatūrai izdotos to atdarināt vai izmantot ļaunprātīgu programmatūru, tā joprojām radītu risku. Daudzi eksperti uzskata, ka vienīgais stabilais risinājums ir pāriet uz jauniem draiveriem, kas izstrādāti no nulles, ar stingrākiem ierobežojumiem un modernāku drošības modeli.

Kā nosūtīt atsauksmes un kontrolēt atsauksmju līmeni operētājsistēmā Windows

Ja jūs ietekmē šīs atklāšanas un uzskatāt, ka Microsoft ir jāuzlabo sava pieeja, varat Sūtiet atsauksmes tieši no WindowsPats uzņēmums mudina izmantot iebūvētos rīkus, lai ziņotu par problēmām ar Defender un citiem sistēmas komponentiem.

No vienas puses, operētājsistēma Windows ir iestatīta tā, lai periodiski automātiski pieprasītu jūsu atsauksmes. Ja vēlaties pārbaudīt vai pielāgot šo automātiskās atsauksmes iestatījumu, varat to izdarīt šādi:

• Iet uz Sākums > Iestatījumi > Konfidencialitāte un drošība > Diagnostika un atsauksmes.
• Sadaļā Atsauksmju biežums pārliecinieties, vai tā ir iestatīta uz “Automātiski (ieteicams)”, ja vēlaties, lai Windows periodiski lūgtu jūsu atsauksmes.

No otras puses, jūs varat iesniegt savus viedokļus arī manuāli, izmantojot Viedokļu centrs (Atsauksmju centrmezglu) jebkurā laikā, negaidot, kamēr sistēma jums jautās:

• Uzdevumjoslas meklēšanas lodziņā ierakstiet "Atsauksmju centrs" un atveriet to.
• Lietojumprogrammas ietvaros dodieties uz sadaļu Komentāri un atlasiet “Pievienot jaunu komentāru”.
• Izvēlieties atbilstošu kategoriju, piemēram, "Drošība, privātums un konti > Microsoft Defender Antivirus operētājsistēmai Windows".

Tādā veidā tiek reģistrēta jūsu pieredze ar WinRing0, viltus pozitīviem rezultātiem vai grūtībām likumīgu draiveru pārvaldībā, un Microsoft to var izmantot. Pielāgojiet savu politiku un noteikšanas rīkus nākotnes versijās, vismaz teorētiski.

Diagnostikas un atgriezeniskās saites iestatījumi ļauj arī kontrolēt kādi dati tiek nosūtīti korporācijai Microsoft Un cik detalizēti tas ir jādara, kas ir svarīgi, ja jūs uztrauc privātums. Tajā pašā iestatījumu sadaļā varat pārskatīt pieejamās opcijas un pielāgot tās savām vēlmēm.

Šodien situācija ar WinRing0 ir gadu gaitā panākto kompromisu starp funkcionalitāti un drošību rezultāts: Ļoti noderīgs draiveris piekļuvei zema līmeņa aparatūrai.Šī ievainojamība, kas ir potenciāli izmantojama, tagad ir nonākusi Microsoft Defender uzmanības lokā. Ja esat saņēmis brīdinājumu, visticamāk, tas ir saistīts ar instalētu uzraudzības rīku, ventilatora vadības programmatūru vai RGB apgaismojuma programmatūru, nevis obligāti ar nesen parādījušos agresīvu Trojas zirgu. Pēc tam jūsu lēmums būs atjaunināt vai mainīt programmatūru, ja iespējams, novērtēt, vai ir vērts paturēt WinRing0, izveidojot izņēmumus un pieņemot risku, vai vienkārši to pilnībā noņemt, lai piešķirtu prioritāti stingrākai drošībai datorā.