Microsoft изтегли неотдавнашна актуализация на Microsoft Defender, която трябваше да отстрани известен проблем, предизвикващ постоянни предупреждения за рестартиране и предупреждения от Windows Security, че защитата на Local Security Authority (LSA) е изключена.
LSA Protection помага за предпазване на потребителите на Windows от опити за кражба на удостоверения, като предотвратява дъмпинга на паметта на процеса LSASS и инжектирането на ненадежден код в процеса LSASS.exe, което в противен случай би позволило извличането на чувствителна информация.
Microsoft призна за проблема на 21 март, след като се разпространиха съобщения от потребители за системи с Windows 11, предупреждаващи, че защитата LSA е изключена. Въпреки това в потребителския интерфейс за настройки тя се показваше като включена.
От Редмънд твърдят, че предупрежденията за постоянно рестартиране, предизвикани от този известен проблем, ще се появяват само в системите Windows 11 21H2 и 22H2.
В последваща актуализация на Microsoft Defender, издадена седмици по-късно, настройката на потребителския интерфейс на функцията LSA Protection е заменена с нова функция, наречена Hardware-enforced Stack Protection в режим на ядрото. За съжаление Microsoft не е документирала тази промяна, което води до объркване на потребителите.
„Защитата LSA не е премахната – тя все още е вградена и включена по подразбиране в машините с Windows 11. В последната версия на Windows Insider Preview имаше актуализация, която промени външния вид на потребителския интерфейс (UI) за тази функция“, заявиха от Microsoft, като погрешно са казали, че тя е само в Windows 11 Insider builds, докато тя вече е налична в Windows 11 22H2.
Седмица по-късно, на 26 април, от Редмънд обявиха, че са отстранили проблема с потребителския интерфейс на LSA Protection, обаче това е станало само чрез премахване на настройката в актуализацията KB5007651 Defender, за да се гарантира, че объркващите предупреждения вече няма да се показват в приложението Windows Settings.
Днес от Редмънд разкриха, че са решили да спрат разпространението на актуализацията KB5007651 Defender поради сини екрани или неочаквани рестартирания на системата при игра на игри, засягащи системите с Windows 11, в които е била внедрена актуализацията Defender.
„Този известен проблем преди това беше разрешен с актуализация за антивирусната платформа Microsoft Defender Antivirus KB5007651 (версия 1.0.2303.27001), но бяха открити проблеми и тази актуализация вече не се предлага на устройствата“, заявиха от Microsoft.
„Ако сте инсталирали версия 1.0.2303.27001 и получавате грешка със син екран или ако устройството ви се рестартира при опит за отваряне на някои игри или приложения, ще трябва да деактивирате Hardware-enforced Stack Protection в режим на ядрото.“
За да деактивирате Kernel-mode HSP, ще трябва да отидете в Device Security (Сигурност на устройството) > Core Isolation (Изолиране на ядрото) в приложението Windows Security (Сигурност на Windows) и да превключите функцията „Kernel-mode Hardware-enforced Stack Protection“ (Защита на стека, наложена от хардуера в ядрото).
Въпреки това Microsoft не предоставя никаква информация за това какво трябва да направят засегнатите потребители, които вече са инсталирали KB5007651, за да се справят с рестартирането на системата и сините екрани, причинени от тази грешна актуализация на Defender, освен да деактивират функцията за защита на стека в режим на ядрото, наложена от хардуера.
Някои от конфликтните драйвери за борба с измамите в игрите, които причиняват сривове или конфликти в Windows, когато е активирана функцията HSP в режим на ядрото, включват PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, Phantasy Star Online 2 (Game Guard) и Dayz.
Microsoft съобщава, че работи по друга поправка за непрестанните предупреждения за LSA Protection, засягащи системите с Windows 11, и ще предостави повече подробности възможно най-скоро.
От Редмънд споделиха и обходен път за клиентите, които не са инсталирали KB5007651 и все още виждат предупреждения за рестартиране, като ги помолиха да игнорират известията за рестартиране.
„Ако сте активирали защитата на Local Security Authority (LSA) и сте рестартирали устройството си поне веднъж, можете да отхвърлите предупредителните известия и да игнорирате всички допълнителни известия, подканващи за рестартиране“, казва компанията.
Можете да проверите дали функцията е активирана на вашия компютър, като използвате Windows Event Viewer, като потърсите събитие на Wininit, в което се казва, че „LSASS.exe е стартиран като защитен процес с ниво:4“, което показва, че процесът е изолиран и защитен от LSA Protection.
Преди два месеца Microsoft обяви, че LSA Protection ще бъде активирана по подразбиране за Windows 11 Insiders в канала Canary, ако техните системи преминат успешно одитна проверка за несъвместимост.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.