近日�,微軟宣布撤回最近的Microsoft Defender修復(fù)補丁。據(jù)稱該補丁是為了修復(fù)了觸發(fā)持續(xù)的重啟警報和Windows安全警告這個問題�����,即本地安全授權(quán)(LSA)保護已關(guān)閉����。
LSA保護通過阻止LSASS進程內(nèi)存轉(zhuǎn)儲和將不受信任的代碼注入LSASS.exe進程(否則將允許提取敏感信息),幫助保護Windows用戶免受憑證盜竊企圖的侵害�。
3月21日,微軟正式表示確實存在此問題��。此前有大量用戶報告Windows 11系統(tǒng)警告LSA保護關(guān)閉�����,然而在設(shè)置用戶界面中顯示的卻是打開狀態(tài)���。
(資料圖)
Redmond表示����,這個已題引發(fā)的持續(xù)重啟警報只會出現(xiàn)在Windows 11 21H2和22H2系統(tǒng)上。
幾周后�,微軟發(fā)布的Microsoft Defender更新將LSA保護功能的用戶界面設(shè)置替換為稱為內(nèi)核模式硬件強制堆棧保護的新功能。但由于微軟沒有記錄這個變化����,導(dǎo)致用戶在使用中出現(xiàn)了混淆。
微軟方面表示:LSA保護并沒有被移除���,仍然是內(nèi)置��,默認(rèn)情況下在Windows 11機器上���。而在最新的Windows內(nèi)部預(yù)覽版中,有一個更新改變了該功能的用戶界面(UI)外觀����。之前說它只在Windows 11內(nèi)部版本中確實說錯了,事實上是它在Windows 11 22H2中可用�����。
4月26日,Redmond宣布他們已經(jīng)修復(fù)了LSA保護UI的相關(guān)問題����。不過為了確保混淆警報不再顯示在Windows設(shè)置應(yīng)用程序中����,所以修復(fù)是通過刪除KB5007651防御者更新中的設(shè)置來完成的���。
防御更新導(dǎo)致藍(lán)屏和隨機重啟
Redmond透露���,由于在游戲影響部署了Defender更新的Windows 11系統(tǒng)時出現(xiàn)藍(lán)屏或意外系統(tǒng)重啟,因此他們決定停止推送KB5007651 Defender更新�����。
微軟表示:這個已知的問題之前已經(jīng)通過微軟Defender Antivirus反惡意軟件平臺KB5007651(版本1.0.2303.27001)的更新解決了�����。但又發(fā)現(xiàn)了其他問題�,并且該更新不再提供給設(shè)備。
如果你已經(jīng)安裝了1.0.2303.27001版本并收到藍(lán)屏錯誤�����,或者如果你的設(shè)備在試圖打開一些游戲或應(yīng)用程序時重啟,那么你需要禁用內(nèi)核模式硬件強制堆棧保護�����。而要禁用內(nèi)核模式HSP���,你必須在Windows安全應(yīng)用程序中進入設(shè)備安全>核心隔離��,并切換“內(nèi)核模式硬件強制堆棧保護”功能�。
除了禁用內(nèi)核模式硬件強制堆棧保護功能外����,微軟沒再有其他什么動作。那些已經(jīng)安裝了錯誤版本Defender更新的用戶����,電腦已經(jīng)出現(xiàn)了系統(tǒng)重啟和藍(lán)屏的現(xiàn)象,他們并不知道要如何解決由這個問題���。
當(dāng)內(nèi)核模式HSP啟用時����,一些沖突的游戲反作弊驅(qū)動程序?qū)е耊indows崩潰或沖突,包括PUBG, Valorant (Riot Vanguard)�����, Bloodhunt, Destiny 2, Genshin Impact, fantasy Star Online 2 (game Guard)和Dayz�。
修復(fù)版本發(fā)布前可采取的解決方案
微軟方面表示,目前他們正在盡可能修復(fù)影響Windows 11系統(tǒng)的持續(xù)LSA保護警告的問題�����,將盡快為用戶提供更多細(xì)節(jié)���。
但有一些用戶沒有安裝KB5007651但仍然會出現(xiàn)重啟警告,針對這種情況����,Redmond分享了一個解決方案稱他們可以直接忽略重啟通知。如果用戶啟用了本地安全機構(gòu)(LSA)保護�����,并且至少重啟過一次設(shè)備�����,就可以忽略警告通知,并忽略任何提示重啟的額外通知��。
用戶可以使用Windows事件查看器檢查該功能是否已經(jīng)在自己的計算機上啟用��。只要通過查找Wininit事件即可獲知��,若事件顯示“LSASS.exe是作為級別為4的受保護進程啟動的”��,表明該進程被隔離并受到LSA保護�����。
兩個月前�����,微軟宣布����,如果Windows 11內(nèi)部用戶的系統(tǒng)通過了不兼容性審計檢查,那么LSA保護將在Canary通道中默認(rèn)啟用�。
LSA和Kernel-mode硬件強制棧保護是分開的設(shè)置
在有關(guān)LSA保護的故障排除步驟中,微軟仍在討論內(nèi)核模式硬件強制堆棧保護的問題��,這令人十分迷惑。
此前微軟曾明確表示這兩個功能是不相關(guān)的����,但他們此次在支持公告中仍把這兩個功能混為一談。LSA和Kernel-mode硬件強制棧保護是分開的設(shè)置�����。
微軟表示��,在最新的Windows Insider預(yù)覽版本中����,增加了內(nèi)核模式的HSP設(shè)置,它不是LSA保護的替代品�。但這個說法并不正確,因為內(nèi)核模式的HSP已經(jīng)在生產(chǎn)構(gòu)建中�����,而不僅僅是Windows內(nèi)部預(yù)覽���。
參考鏈接:https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-defender-update-fixing-windows-lsa-protection-bug/
