近日，微軟宣布撤回最近的Microsoft Defender修復(fù)補丁。據(jù)稱該補丁是為了修復(fù)了觸發(fā)持續(xù)的重啟警報和Windows安全警告這個問題，即本地安全授權(quán)(LSA)保護已關(guān)閉。

LSA保護通過阻止LSASS進程內(nèi)存轉(zhuǎn)儲和將不受信任的代碼注入LSASS.exe進程(否則將允許提取敏感信息)，幫助保護Windows用戶免受憑證盜竊企圖的侵害。

3月21日，微軟正式表示確實存在此問題。此前有大量用戶報告Windows 11系統(tǒng)警告LSA保護關(guān)閉，然而在設(shè)置用戶界面中顯示的卻是打開狀態(tài)。

Redmond表示，這個已題引發(fā)的持續(xù)重啟警報只會出現(xiàn)在Windows 11 21H2和22H2系統(tǒng)上。

幾周后，微軟發(fā)布的Microsoft Defender更新將LSA保護功能的用戶界面設(shè)置替換為稱為內(nèi)核模式硬件強制堆棧保護的新功能。但由于微軟沒有記錄這個變化，導(dǎo)致用戶在使用中出現(xiàn)了混淆。

微軟方面表示：LSA保護并沒有被移除，仍然是內(nèi)置，默認情況下在Windows 11機器上。而在最新的Windows內(nèi)部預(yù)覽版中，有一個更新改變了該功能的用戶界面(UI)外觀。之前說它只在Windows 11內(nèi)部版本中確實說錯了，事實上是它在Windows 11 22H2中可用。

4月26日，Redmond宣布他們已經(jīng)修復(fù)了LSA保護UI的相關(guān)問題。不過為了確?；煜瘓蟛辉亠@示在Windows設(shè)置應(yīng)用程序中，所以修復(fù)是通過刪除KB5007651防御者更新中的設(shè)置來完成的。

防御更新導(dǎo)致藍屏和隨機重啟

Redmond透露，由于在游戲影響部署了Defender更新的Windows 11系統(tǒng)時出現(xiàn)藍屏或意外系統(tǒng)重啟，因此他們決定停止推送KB5007651 Defender更新。

微軟表示：這個已知的問題之前已經(jīng)通過微軟Defender Antivirus反惡意軟件平臺KB5007651(版本1.0.2303.27001)的更新解決了。但又發(fā)現(xiàn)了其他問題，并且該更新不再提供給設(shè)備。

如果你已經(jīng)安裝了1.0.2303.27001版本并收到藍屏錯誤，或者如果你的設(shè)備在試圖打開一些游戲或應(yīng)用程序時重啟，那么你需要禁用內(nèi)核模式硬件強制堆棧保護。而要禁用內(nèi)核模式HSP，你必須在Windows安全應(yīng)用程序中進入設(shè)備安全>核心隔離，并切換“內(nèi)核模式硬件強制堆棧保護”功能。

除了禁用內(nèi)核模式硬件強制堆棧保護功能外，微軟沒再有其他什么動作。那些已經(jīng)安裝了錯誤版本Defender更新的用戶，電腦已經(jīng)出現(xiàn)了系統(tǒng)重啟和藍屏的現(xiàn)象，他們并不知道要如何解決由這個問題。

當內(nèi)核模式HSP啟用時，一些沖突的游戲反作弊驅(qū)動程序?qū)е耊indows崩潰或沖突，包括PUBG, Valorant (Riot Vanguard)， Bloodhunt, Destiny 2, Genshin Impact, fantasy Star Online 2 (game Guard)和Dayz。

修復(fù)版本發(fā)布前可采取的解決方案

微軟方面表示，目前他們正在盡可能修復(fù)影響Windows 11系統(tǒng)的持續(xù)LSA保護警告的問題，將盡快為用戶提供更多細節(jié)。

但有一些用戶沒有安裝KB5007651但仍然會出現(xiàn)重啟警告，針對這種情況，Redmond分享了一個解決方案稱他們可以直接忽略重啟通知。如果用戶啟用了本地安全機構(gòu)(LSA)保護，并且至少重啟過一次設(shè)備，就可以忽略警告通知，并忽略任何提示重啟的額外通知。

用戶可以使用Windows事件查看器檢查該功能是否已經(jīng)在自己的計算機上啟用。只要通過查找Wininit事件即可獲知，若事件顯示“LSASS.exe是作為級別為4的受保護進程啟動的”，表明該進程被隔離并受到LSA保護。

兩個月前，微軟宣布，如果Windows 11內(nèi)部用戶的系統(tǒng)通過了不兼容性審計檢查，那么LSA保護將在Canary通道中默認啟用。

LSA和Kernel-mode硬件強制棧保護是分開的設(shè)置

在有關(guān)LSA保護的故障排除步驟中，微軟仍在討論內(nèi)核模式硬件強制堆棧保護的問題，這令人十分迷惑。

此前微軟曾明確表示這兩個功能是不相關(guān)的，但他們此次在支持公告中仍把這兩個功能混為一談。LSA和Kernel-mode硬件強制棧保護是分開的設(shè)置。

微軟表示，在最新的Windows Insider預(yù)覽版本中，增加了內(nèi)核模式的HSP設(shè)置，它不是LSA保護的替代品。但這個說法并不正確，因為內(nèi)核模式的HSP已經(jīng)在生產(chǎn)構(gòu)建中，而不僅僅是Windows內(nèi)部預(yù)覽。

參考鏈接：https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-defender-update-fixing-windows-lsa-protection-bug/