近日，微軟宣布撤回最近的Microsoft Defender修復(fù)補(bǔ)丁。據(jù)稱該補(bǔ)丁是為了修復(fù)了觸發(fā)持續(xù)的重啟警報(bào)和Windows安全警告這個(gè)問(wèn)題，即本地安全授權(quán)(LSA)保護(hù)已關(guān)閉。

LSA保護(hù)通過(guò)阻止LSASS進(jìn)程內(nèi)存轉(zhuǎn)儲(chǔ)和將不受信任的代碼注入LSASS.exe進(jìn)程(否則將允許提取敏感信息)，幫助保護(hù)Windows用戶免受憑證盜竊企圖的侵害。

3月21日，微軟正式表示確實(shí)存在此問(wèn)題。此前有大量用戶報(bào)告Windows 11系統(tǒng)警告LSA保護(hù)關(guān)閉，然而在設(shè)置用戶界面中顯示的卻是打開狀態(tài)。

Redmond表示，這個(gè)已題引發(fā)的持續(xù)重啟警報(bào)只會(huì)出現(xiàn)在Windows 11 21H2和22H2系統(tǒng)上。

幾周后，微軟發(fā)布的Microsoft Defender更新將LSA保護(hù)功能的用戶界面設(shè)置替換為稱為內(nèi)核模式硬件強(qiáng)制堆棧保護(hù)的新功能。但由于微軟沒有記錄這個(gè)變化，導(dǎo)致用戶在使用中出現(xiàn)了混淆。

微軟方面表示：LSA保護(hù)并沒有被移除，仍然是內(nèi)置，默認(rèn)情況下在Windows 11機(jī)器上。而在最新的Windows內(nèi)部預(yù)覽版中，有一個(gè)更新改變了該功能的用戶界面(UI)外觀。之前說(shuō)它只在Windows 11內(nèi)部版本中確實(shí)說(shuō)錯(cuò)了，事實(shí)上是它在Windows 11 22H2中可用。

4月26日，Redmond宣布他們已經(jīng)修復(fù)了LSA保護(hù)UI的相關(guān)問(wèn)題。不過(guò)為了確保混淆警報(bào)不再顯示在Windows設(shè)置應(yīng)用程序中，所以修復(fù)是通過(guò)刪除KB5007651防御者更新中的設(shè)置來(lái)完成的。

防御更新導(dǎo)致藍(lán)屏和隨機(jī)重啟

Redmond透露，由于在游戲影響部署了Defender更新的Windows 11系統(tǒng)時(shí)出現(xiàn)藍(lán)屏或意外系統(tǒng)重啟，因此他們決定停止推送KB5007651 Defender更新。

微軟表示：這個(gè)已知的問(wèn)題之前已經(jīng)通過(guò)微軟Defender Antivirus反惡意軟件平臺(tái)KB5007651(版本1.0.2303.27001)的更新解決了。但又發(fā)現(xiàn)了其他問(wèn)題，并且該更新不再提供給設(shè)備。

如果你已經(jīng)安裝了1.0.2303.27001版本并收到藍(lán)屏錯(cuò)誤，或者如果你的設(shè)備在試圖打開一些游戲或應(yīng)用程序時(shí)重啟，那么你需要禁用內(nèi)核模式硬件強(qiáng)制堆棧保護(hù)。而要禁用內(nèi)核模式HSP，你必須在Windows安全應(yīng)用程序中進(jìn)入設(shè)備安全>核心隔離，并切換“內(nèi)核模式硬件強(qiáng)制堆棧保護(hù)”功能。

除了禁用內(nèi)核模式硬件強(qiáng)制堆棧保護(hù)功能外，微軟沒再有其他什么動(dòng)作。那些已經(jīng)安裝了錯(cuò)誤版本Defender更新的用戶，電腦已經(jīng)出現(xiàn)了系統(tǒng)重啟和藍(lán)屏的現(xiàn)象，他們并不知道要如何解決由這個(gè)問(wèn)題。

當(dāng)內(nèi)核模式HSP啟用時(shí)，一些沖突的游戲反作弊驅(qū)動(dòng)程序?qū)е耊indows崩潰或沖突，包括PUBG, Valorant (Riot Vanguard)， Bloodhunt, Destiny 2, Genshin Impact, fantasy Star Online 2 (game Guard)和Dayz。

修復(fù)版本發(fā)布前可采取的解決方案

微軟方面表示，目前他們正在盡可能修復(fù)影響Windows 11系統(tǒng)的持續(xù)LSA保護(hù)警告的問(wèn)題，將盡快為用戶提供更多細(xì)節(jié)。

但有一些用戶沒有安裝KB5007651但仍然會(huì)出現(xiàn)重啟警告，針對(duì)這種情況，Redmond分享了一個(gè)解決方案稱他們可以直接忽略重啟通知。如果用戶啟用了本地安全機(jī)構(gòu)(LSA)保護(hù)，并且至少重啟過(guò)一次設(shè)備，就可以忽略警告通知，并忽略任何提示重啟的額外通知。

用戶可以使用Windows事件查看器檢查該功能是否已經(jīng)在自己的計(jì)算機(jī)上啟用。只要通過(guò)查找Wininit事件即可獲知，若事件顯示“LSASS.exe是作為級(jí)別為4的受保護(hù)進(jìn)程啟動(dòng)的”，表明該進(jìn)程被隔離并受到LSA保護(hù)。

兩個(gè)月前，微軟宣布，如果Windows 11內(nèi)部用戶的系統(tǒng)通過(guò)了不兼容性審計(jì)檢查，那么LSA保護(hù)將在Canary通道中默認(rèn)啟用。

LSA和Kernel-mode硬件強(qiáng)制棧保護(hù)是分開的設(shè)置

在有關(guān)LSA保護(hù)的故障排除步驟中，微軟仍在討論內(nèi)核模式硬件強(qiáng)制堆棧保護(hù)的問(wèn)題，這令人十分迷惑。

此前微軟曾明確表示這兩個(gè)功能是不相關(guān)的，但他們此次在支持公告中仍把這兩個(gè)功能混為一談。LSA和Kernel-mode硬件強(qiáng)制棧保護(hù)是分開的設(shè)置。

微軟表示，在最新的Windows Insider預(yù)覽版本中，增加了內(nèi)核模式的HSP設(shè)置，它不是LSA保護(hù)的替代品。但這個(gè)說(shuō)法并不正確，因?yàn)閮?nèi)核模式的HSP已經(jīng)在生產(chǎn)構(gòu)建中，而不僅僅是Windows內(nèi)部預(yù)覽。

參考鏈接：https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-defender-update-fixing-windows-lsa-protection-bug/