Η Microsoft ανασύρει την ενημέρωση του Defender για να διορθώσει το σφάλμα προστασίας LSA των Windows

Η Microsoft έβγαλε μια πρόσφατη ενημέρωση του Microsoft Defender, η οποία έπρεπε να διορθώσει ένα γνωστό πρόβλημα που ενεργοποιεί τις επίμονες ειδοποιήσεις επανεκκίνησης και τις προειδοποιήσεις ασφαλείας των Windows ότι η Προστασία τοπικής αρχής ασφαλείας (LSA) είναι απενεργοποιημένη.

Η Προστασία LSA βοηθά στην προστασία των χρηστών των Windows από απόπειρες κλοπής διαπιστευτηρίων εμποδίζοντας την απόρριψη της μνήμης διεργασιών LSASS και την εισαγωγή μη αξιόπιστου κώδικα στη διαδικασία LSASS.exe, η οποία διαφορετικά θα επέτρεπε την εξαγωγή ευαίσθητων πληροφοριών.

Η Microsoft αναγνώρισε το ζήτημα στις 21 Μαρτίου, μετά από εκτεταμένες αναφορές χρηστών σχετικά με συστήματα Windows 11 που προειδοποιούσαν ότι η προστασία LSA ήταν απενεργοποιημένη. Ωστόσο, εμφανιζόταν στη διεπαφή χρήστη ρυθμίσεων ως ενεργοποιημένο.

Ο Redmond λέει ότι οι επίμονες ειδοποιήσεις επανεκκίνησης που ενεργοποιούνται από αυτό το γνωστό πρόβλημα θα εμφανίζονται μόνο στα συστήματα Windows 11 21H2 και 22H2.

Μια μεταγενέστερη ενημέρωση του Microsoft Defender που εκδόθηκε εβδομάδες αργότερα αντικατέστησε τη ρύθμιση της διεπαφής χρήστη της δυνατότητας προστασίας LSA με μια νέα δυνατότητα που ονομάζεται Προστασία στοίβας με λειτουργία πυρήνα. Δυστυχώς, η Microsoft δεν έχει τεκμηριώσει αυτήν την αλλαγή, οδηγώντας σε σύγχυση των χρηστών.

“Η Προστασία LSA δεν έχει καταργηθεί – εξακολουθεί να είναι ενσωματωμένη και ενεργοποιημένη από προεπιλογή σε μηχανήματα με Windows 11. Στην πιο πρόσφατη προεπισκόπηση Windows Insider, υπήρχε μια ενημέρωση που άλλαξε την εμφάνιση της διεπαφής χρήστη (UI) για αυτήν τη δυνατότητα,” Microsoft είπε στο BleepingComputer, λέγοντας κατά λάθος ότι ήταν μόνο σε εκδόσεις Windows 11 Insider όταν ήταν ήδη διαθέσιμο στα Windows 11 22H2.

Μία εβδομάδα αργότερα, στις 26 Απριλίου, ο Redmond ανακοίνωσε ότι διόρθωσε το πρόβλημα του LSA Protection UI, ωστόσο, αυτό έγινε απλώς αφαιρώντας τη ρύθμιση στην ενημέρωση KB5007651 Defender για να διασφαλιστεί ότι οι μπερδεμένες ειδοποιήσεις δεν θα εμφανίζονται πλέον στην εφαρμογή Ρυθμίσεις των Windows.

Η ενημέρωση του Defender προκαλεί μπλε οθόνες και τυχαίες επανεκκινήσεις

Σήμερα, η Redmond αποκάλυψε ότι αποφάσισε να σταματήσει να προωθεί την ενημέρωση του Defender KB5007651 λόγω μπλε οθονών ή απροσδόκητων επανεκκινήσεων του συστήματος όταν τα παιχνίδια επηρεάζουν τα συστήματα Windows 11 όπου αναπτύχθηκε η ενημέρωση Defender.

“Αυτό το γνωστό ζήτημα είχε επιλυθεί προηγουμένως με μια ενημέρωση για την πλατφόρμα προστασίας από κακόβουλο λογισμικό Microsoft Defender Antivirus KB5007651 (Έκδοση 1.0.2303.27001), αλλά εντοπίστηκαν προβλήματα και αυτή η ενημέρωση δεν προσφέρεται πλέον σε συσκευές,” Microsoft

είπε

.

“Εάν έχετε εγκαταστήσει την έκδοση 1.0.2303.27001 και λάβετε ένα σφάλμα με μπλε οθόνη ή εάν η συσκευή σας επανεκκινηθεί όταν προσπαθείτε να ανοίξετε ορισμένα παιχνίδια ή εφαρμογές, θα πρέπει να απενεργοποιήσετε την Προστασία στοίβας με επιβολή υλικού σε λειτουργία πυρήνα.”

Για να απενεργοποιήσετε το HSP σε λειτουργία πυρήνα, θα πρέπει να μεταβείτε στην ενότητα Ασφάλεια συσκευής > Απομόνωση πυρήνα στην εφαρμογή Ασφάλεια των Windows και να αλλάξετε τη λειτουργία “Προστασία στοίβας με επιβολή υλικού πυρήνα”.

Ωστόσο, η Microsoft δεν παρέχει καμία πληροφορία σχετικά με το τι πρέπει να κάνουν οι επηρεαζόμενοι χρήστες που έχουν ήδη εγκαταστήσει το KB5007651 για να αντιμετωπίσουν τις επανεκκινήσεις του συστήματος και τις μπλε οθόνες που προκαλούνται από αυτήν την ενημερωμένη έκδοση του Defender με σφάλματα εκτός από την απενεργοποίηση της δυνατότητας προστασίας στοίβας σε λειτουργία πυρήνα.

Μερικά από τα προγράμματα οδήγησης κατά της εξαπάτησης παιχνιδιών σε διένεξη που προκαλούν σφάλματα ή συγκρούσεις των Windows όταν είναι ενεργοποιημένο το HSP λειτουργίας πυρήνα περιλαμβάνουν

PUBG

,

γενναίος

(Riot Vanguard),

Κυνήγι αίματος

,

Πεπρωμένο 2

,

Genshin Impact

,

Phantasy Star Online 2

(Game Guard), και

Dayz

.

Διατίθεται λύση μέχρι να κυκλοφορήσει μια επιδιόρθωση

Η Microsoft λέει ότι εργάζεται σε μια άλλη λύση για τις αμείλικτες προειδοποιήσεις προστασίας LSA που επηρεάζουν τα συστήματα Windows 11 και θα παράσχει περισσότερες λεπτομέρειες το συντομότερο δυνατό.

Ο Redmond μοιράστηκε επίσης μια λύση για πελάτες που δεν έχουν εγκαταστήσει το KB5007651 και εξακολουθούν να βλέπουν προειδοποιήσεις επανεκκίνησης, ζητώντας τους να αγνοήσουν τις ειδοποιήσεις επανεκκίνησης.

“Εάν έχετε ενεργοποιήσει την προστασία της τοπικής αρχής ασφαλείας (LSA) και έχετε επανεκκινήσει τη συσκευή σας τουλάχιστον μία φορά, μπορείτε να παραβλέψετε τις προειδοποιητικές ειδοποιήσεις και να αγνοήσετε τυχόν πρόσθετες ειδοποιήσεις που σας ζητούν επανεκκίνηση”, λέει η εταιρεία.

Μπορείτε να ελέγξετε εάν η δυνατότητα είναι ενεργοποιημένη στον υπολογιστή σας χρησιμοποιώντας το Windows Event Viewer, αναζητώντας ένα συμβάν Wininit που λέει ότι “Το LSASS.exe ξεκίνησε ως προστατευμένη διεργασία με επίπεδο:4”, υποδεικνύοντας ότι η διαδικασία είναι απομονωμένη και προστατεύεται από την LSA ΠΡΟΣΤΑΣΙΑ.

Ενώ το BleepingComputer έχει αναφέρει στο παρελθόν ότι αυτές οι προειδοποιήσεις μπορούν να αποτραπούν με την προσθήκη δύο καταχωρίσεων μητρώου, η Microsoft “δεν συνιστά καμία άλλη λύση για αυτό το ζήτημα”.

​Πριν από δύο μήνες, η Microsoft ανακοίνωσε ότι η Προστασία LSA θα ενεργοποιηθεί από προεπιλογή για τα Windows 11 Insiders στο κανάλι Canary, εάν τα συστήματά τους περάσουν από έλεγχο ελέγχου ασυμβατότητας.

Ένα μπερδεμένο χάος

Η Microsoft συνεχίζει να συζητά με σύγχυση την Προστασία στοίβας με επιβολή υλικού σε λειτουργία πυρήνα στα βήματα αντιμετώπισης προβλημάτων σχετικά με την Προστασία LSA.

Στο παρελθόν, η Microsoft είπε συγκεκριμένα στο BleepingComputer ότι τα δύο χαρακτηριστικά δεν σχετίζονται μεταξύ τους, ωστόσο συνεχίζουν να συγχέουν τα δύο χαρακτηριστικά σε ενημερωτικά δελτία υποστήριξης.

“Η προστασία στοίβας με επιβολή υλικού LSA και πυρήνα είναι ξεχωριστές ρυθμίσεις. Στην πιο πρόσφατη έκδοση του Windows Insider Preview, προστέθηκε η ρύθμιση HSP σε λειτουργία πυρήνα. Δεν αντικαθιστά την προστασία LSA”, είπε η Microsoft στο BleepingComputer.

Ωστόσο, ακόμη και αυτές οι πληροφορίες είναι εσφαλμένες, καθώς το HSP σε λειτουργία πυρήνα βρίσκεται ήδη σε εκδόσεις παραγωγής και όχι μόνο σε προεπισκοπήσεις του Windows Insider, προκαλώντας ακόμη μεγαλύτερη σύγχυση.

Η Microsoft δεν έχει ακόμη κυκλοφορήσει καμία επίσημη τεκμηρίωση σχετικά με την Προστασία στοίβας με επιβολή υλικού σε λειτουργία πυρήνα, αν και είναι διαθέσιμη στα Windows 11 για σχεδόν ένα μήνα.