官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近日,微软宣布撤回最近的Microsoft Defender修复补丁。据称该补丁是为了修复了触发持续的重启警报和Windows安全警告这个问题,即本地安全授权(LSA)保护已关闭。
LSA保护通过阻止LSASS进程内存转储和将不受信任的代码注入LSASS.exe进程(否则将允许提取敏感信息),帮助保护Windows用户免受凭证盗窃企图的侵害。
3月21日,微软正式表示确实存在此问题。此前有大量用户报告Windows 11系统警告LSA保护关闭,然而在设置用户界面中显示的却是打开状态。
Redmond表示,这个已题引发的持续重启警报只会出现在Windows 11 21H2和22H2系统上。
几周后,微软发布的Microsoft Defender更新将LSA保护功能的用户界面设置替换为称为内核模式硬件强制堆栈保护的新功能。但由于微软没有记录这个变化,导致用户在使用中出现了混淆。
微软方面表示:LSA保护并没有被移除,仍然是内置,默认情况下在Windows 11机器上。而在最新的Windows内部预览版中,有一个更新改变了该功能的用户界面(UI)外观。之前说它只在Windows 11内部版本中确实说错了,事实上是它在Windows 11 22H2中可用。
4月26日,Redmond宣布他们已经修复了LSA保护UI的相关问题。不过为了确保混淆警报不再显示在Windows设置应用程序中,所以修复是通过删除KB5007651防御者更新中的设置来完成的。
防御更新导致蓝屏和随机重启
Redmond透露,由于在游戏影响部署了Defender更新的Windows 11系统时出现蓝屏或意外系统重启,因此他们决定停止推送KB5007651 Defender更新。
微软表示:这个已知的问题之前已经通过微软Defender Antivirus反恶意软件平台KB5007651(版本1.0.2303.27001)的更新解决了。但又发现了其他问题,并且该更新不再提供给设备。
如果你已经安装了1.0.2303.27001版本并收到蓝屏错误,或者如果你的设备在试图打开一些游戏或应用程序时重启,那么你需要禁用内核模式硬件强制堆栈保护。而要禁用内核模式HSP,你必须在Windows安全应用程序中进入设备安全>核心隔离,并切换“内核模式硬件强制堆栈保护”功能。
除了禁用内核模式硬件强制堆栈保护功能外,微软没再有其他什么动作。那些已经安装了错误版本Defender更新的用户,电脑已经出现了系统重启和蓝屏的现象,他们并不知道要如何解决由这个问题。
当内核模式HSP启用时,一些冲突的游戏反作弊驱动程序导致Windows崩溃或冲突,包括PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, fantasy Star Online 2 (game Guard)和Dayz。
修复版本发布前可采取的解决方案
微软方面表示,目前他们正在尽可能修复影响Windows 11系统的持续LSA保护警告的问题,将尽快为用户提供更多细节。
但有一些用户没有安装KB5007651但仍然会出现重启警告,针对这种情况,Redmond分享了一个解决方案称他们可以直接忽略重启通知。如果用户启用了本地安全机构(LSA)保护,并且至少重启过一次设备,就可以忽略警告通知,并忽略任何提示重启的额外通知。
用户可以使用Windows事件查看器检查该功能是否已经在自己的计算机上启用。只要通过查找Wininit事件即可获知,若事件显示“LSASS.exe是作为级别为4的受保护进程启动的”,表明该进程被隔离并受到LSA保护。
两个月前,微软宣布,如果Windows 11内部用户的系统通过了不兼容性审计检查,那么LSA保护将在Canary通道中默认启用。
LSA和Kernel-mode硬件强制栈保护是分开的设置
在有关LSA保护的故障排除步骤中,微软仍在讨论内核模式硬件强制堆栈保护的问题,这令人十分迷惑。
此前微软曾明确表示这两个功能是不相关的,但他们此次在支持公告中仍把这两个功能混为一谈。LSA和Kernel-mode硬件强制栈保护是分开的设置。
微软表示,在最新的Windows Insider预览版本中,增加了内核模式的HSP设置,它不是LSA保护的替代品。但这个说法并不正确,因为内核模式的HSP已经在生产构建中,而不仅仅是Windows内部预览。
参考链接:https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-defender-update-fixing-windows-lsa-protection-bug/