Обновление Microsoft Defender в Windows 11 заменяет LSA на аппаратную защиту стека Windows

Microsoft не предоставила документацию про представленным изменениям, которые вызывают множество вопросов.

Защита локальной системы безопасности (Local Security Authority Protection, LSA) позволяет усилить защиту конфиденциальной информации от кражи, блокируя внедрение ненадежного кода в процесс LSASS и создавая дамп памяти процесса LSASS.

До обновления пользователи Windows могли включить опцию Защита локальной системы безопасности в приложении «Безопасность Windows» > Безопасность устройства > Изоляция ядра, если на устройстве использовался процессор, поддерживающий виртуализацию.

Однако за последние несколько недель пользователи Windows 11 жаловались на невозможность включения защиты локальной системы безопасности в настройках изоляции ядра.

При попытке включения Windows предлагает перезагрузить компьютер, однако после перезагрузки функция не включается, и Windows продолжает запрашивать перезагрузку.

Позже компания Microsoft заявила, что если вы включили защиту LSA и перезагрузили устройство хотя бы один раз, вы можете игнорировать повторяющиеся предупреждения.

Также компания предложила обходной путь для проверки, включена ли защита LSA, и рассказала, как настроить два ключа реестра для отключения предупреждения.

Обновление Microsoft Defender приводит к путанице

Недавнее обновление Microsoft Defender внесло еще больше путаницы. После его установки функция LSA удаляется и заменяется на «Аппаратную защиту стека в режиме ядра» (Kernel-mode Hardware-enforced Stack Protection).

Аппаратная защита стека в режиме ядра — это функция безопасности, которая пытается предотвратить атаки потока управления на основе ROP (возвратно-ориентированное программирование), которые могут привести к несанкционированному выполнению кода.

В описании функции сообщается:

Для кода, работающего в режиме ядра, ЦП подтверждает запрошенные обратные адреса второй копией адреса, хранящейся в теневом стеке, чтобы предотвратить подмену адреса злоумышленниками с целью запуска вредоносного кода.

Обратите внимание, что не все драйверы совместимы с этой функцией безопасности.

Для использования новой функции устройство Windows должно использовать процессоры Intel Tiger Lake или AMD Zen3 и новее. Windows будет отображать новый параметр только в том случае, если на устройстве установлено необходимое оборудование.

Как и в случае с защитой целостности памяти, при активации аппаратной защиты стека в режиме ядра Windows гарантирует, что в систему не будут загружены несовместимые драйверы. Если они установлены, функция защиты стека просто не будет включена, и Windows отобразит список несовместимых драйверов.

Пользователи Windows 11 уже сообщают о получении уведомлений о том, что новая функция отключена из-за конфликтующих драйверов.

В Центре безопасности Windows выводится следующее предупреждение:

Аппаратная защита стека в режиме ядра отключена. Ваше устройство может быть уязвимым.

Часто список несовместимых драйверов оказывается пустым, что вызывает еще большую путаницу.

Более того, некоторые конфликтующие игровые античит-драйверы не определяются как несовместимые, а аппаратная защита стека в режиме ядра беспрепятственно включается. Это приводит к сбоям Windows или проблемам запуска игр.

Пользователи Windows 11 сообщали об этих проблемах в PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, Phantasy Star Online 2 (Game Guard) и Dayz.

Что случилось с LSA?

Таким образом, пользователи Windows 11 больше не могут включать защиту LSA, функцию, которая не требует наличия новых процессоров.

Пока неясно, входит ли LSA в аппаратную защиту стека в режиме ядра или она была полностью удалена из интерфейса настроек Windows, что требует от пользователей включения ее вручную через реестр.

Microsoft никак не анонсировала замену этих функций безопасности и добавление аппаратной защиты стека в режиме ядра. Доступно только краткое описание функции защиты стека и несколько упоминаний в документации