Windows 11 показывает ложное уведомление об отключении «Защиты локальной системы безопасности»

2023-03-21 11047 комментарии
Пользователи Windows 11 сообщают о широко распространенных предупреждениях системы безопасности Windows об отключении «Защиты локальной системы безопасности», даже если функция включена
Обновлено: 22.03.2023. Microsoft сообщает, что обновление KB5007651 для Microsoft Defender вызывает ложные уведомления приложения «Безопасность Windows» об отключении «Защиты локальной системы безопасности» (Local Security Authority (LSA) Protection).

Защита локальной системы безопасности (Local Security Authority Protection) — важная функция безопасности, предотвращающая кражу конфиденциальной информации, в частности учетных данных, путем блокировки дампа памяти процесса и попыток внедрения ненадежного кода в процесс LSA.

Данный защитный механизм гарантирует, что только доверенные лица могут получить доступ к критически важной информации, необходимой для аутентификации пользователя и безопасности системы.

Некоторые пользователи сообщают, что проблема проявилась после установки накопительного обновления KB5023706 для Windows 11, версия 22H2, вышедшего в середине марта, но у других она наблюдается с 15 января.

Затронутые пользователи получают следующее сообщение, даже если Защита локальной системы безопасности включена в приложении «Безопасность Windows» > Безопасность устройства > Изоляция ядра.

Защита локальной системы безопасности отключена. Устройство может быть уязвимо.

На сайте поддержки Microsoft отмечает:

С этой функцией произошел технический сбой. Если вы успешно включили эту функцию, но вам предлагается перезапустить ее, обратите внимание, что она включена независимо от сообщения. Мы знаем о проблеме и работаем над тем, чтобы решить эту ее как можно скорее.

Убедиться, что защита локальной системы безопасности включена можно с помощью журнала событий. Нужно найти событие WinInit в журнале Система в папке Журналы Windows:

  • 12: LSASS.exe запущен как защищенный процесс уровня: 4

Как отключить ложные уведомления отключения защиты LSA

Пока Microsoft не выпустила исправление проблемы, вы можете вручную добавить две новые записи в реестр Windows 11, чтобы гарантировать автоматическое включение LSA после перезапуска и отключить ошибочные уведомления.

Выполните следующие действия:

  • Откройте редактор реестра и перейдите в раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  • Добавьте два новых параметра DWORD (32 бита) с названиями: RunAsPPL и RunAsPPLBoot и установите для них значение 2.
  • Перезапустите систему.

Ранее в этом месяце Редмонд объявил, что последняя сборка Windows 11, распространяемая для инсайдеров на канале Canary, также по умолчанию включает защиту LSA, но только в случае, когда система прошла проверку на совместимость (при этом Microsoft не поясняет, какие проблемы совместимости проверяются).

В феврале 2022 года Microsoft заявила, что по умолчанию включит правило безопасности Microsoft Defender «Уменьшение поверхности атаки», которое также будет блокировать попытки кражи учетных данных Windows из процесса службы подсистемы локальной системы безопасности (LSASS).

© . По материалам Bleeping Computer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте