Kafa karıştırıcı bir karmaşa içinde, yakın tarihli bir Microsoft Defender güncellemesi, LSA koruma özelliğini kaldırırken ‘Kernel-mode Hardware-forced Stack Protection’ adlı yeni bir güvenlik özelliğini kullanıma sundu. Ne yazık ki, Microsoft bu değişiklikle ilgili herhangi bir belge sağlamamıştır ve bu da yanıtlardan çok sorulara yol açmaktadır.
Yerel Güvenlik Yetkilisi Koruması, diğer adıyla LSA Koruması, güvenilmeyen kodun LSASS işlemine eklenmesini ve LSASS işlem belleği dökümünü engelleyerek kimlik bilgileri gibi hassas bilgileri çalınmaya karşı koruyan bir güvenlik özelliğidir.
Windows kullanıcıları, LSA Korumasını etkinleştirebilir. Windows Güvenliği > Cihaz Güvenliği > Çekirdek İzolasyonu sanallaştırmayı destekleyen CPU’lar için ayarlar sayfası.
Ancak son birkaç haftadır Windows 11 kullanıcıları, Windows Security ‘Çekirdek İzolasyonu’ ayarlarında Yerel Güvenlik Yetkilisi Koruması güvenlik özelliğini etkinleştiremediklerinden şikayet ettiler.
Bunu yapmaya çalışırken Windows, özelliği etkinleştirmek için kullanıcılardan bilgisayarı yeniden başlatmalarını ister, ancak yeniden başlatma sırasında özellik etkinleştirilmez ve Windows bir kez daha yeniden başlatma istemi görüntüler.
Microsoft daha sonra, LSA Korumasını etkinleştirdiyseniz ve cihazınızı en az bir kez yeniden başlattıysanız, bu uyarıları göz ardı edebileceğinizi söyledi.
LSA Korumasının etkinleştirilip etkinleştirilmediğini kontrol etmek ve uyarıyı devre dışı bırakmak için iki Kayıt Defteri anahtarının nasıl yapılandırılacağını kontrol etmek için bir geçici çözüm de sağlanmıştır.
Microsoft Defender güncellemesi kafa karışıklığı yaratıyor
Yakın tarihli bir Microsoft Defender güncellemesi, bu özelliği daha da kafa karıştırıcı hale getirdi, çünkü yüklendikten sonra LSA Koruması özelliği kaldırılıyor ve yerine Çekirdek Modu Donanım Zorunlu Yığın Koruması adı verilen yeni bir özellik geliyor.
Çekirdek modu Donanım Zorunlu Yığın Koruması, kod yürütülmesine yol açabilecek ROP (Geri Dönüş Odaklı Programlama) tabanlı kontrol akışı saldırılarını engellemeye çalışan bir güvenlik özelliğidir.
Windows Kernel-mode Hardware-enforced Stack, “Çekirdek modunda çalışan kod için, saldırganların bunun yerine kötü amaçlı kod çalıştıran bir adresi kullanmasını önlemek için CPU, gölge yığında depolanan adresin ikinci bir kopyasıyla istenen dönüş adreslerini onaylar” diye açıklıyor. Koruma ayarı.
“Tüm sürücülerin bu güvenlik özelliğiyle uyumlu olmadığını unutmayın.”
Ancak, bu özelliği kullanmak için bir Windows aygıtının Intel Tiger Lake CPU’ları veya AMD Zen3 CPU’ları ve sonraki sürümlerini kullanıyor olması gerekir. Bu nedenle, Windows bu yeni ayarı yalnızca aygıt gerekli donanıma sahipse görüntüler.
Bellek Bütünlüğü gibi, Çekirdek Modu Donanım Zorunlu Yığın Korumasını etkinleştirirken, Windows uyumsuz sürücülerin Windows’a yüklenmemesini sağlar. Varsa, Yığın Koruma özelliği etkinleştirilmez ve Windows uyumsuz sürücülerin bir listesini görüntüler.
Windows 11 kullanıcıları artık, çakışan sürücüler nedeniyle yeni özelliğin devre dışı bırakıldığına dair Windows güvenlik bildirimleri gördüklerini bildiriyor. Ancak listeyi incelediklerinde listenin boş olması, özelliğin nasıl etkinleştirileceğini kafa karıştırıyor.
Daha da kötüsü, bazı çakışan oyun hile önleme sürücüleri uyumsuz olarak algılanmaz ve Çekirdek modu Donanım tarafından uygulanan Yığın Koruması hala etkindir. Bu çakışan sürücüler, güvenlik özelliği etkinleştirildiğinde ve bir oyun başlatıldığında Windows’un çökmesine veya oyunların çalışmamasına neden oluyor.
Windows 11 kullanıcıları bu sorunu PUBG, Valorant, Bloodhunt, Destiny 2, Genshin Impact ve Dayz için bildirdi.
LSA Korumasına ne oldu?
Daha da sinir bozucu olan, Windows 11 kullanıcılarının artık daha yeni CPU’lar gerektirmeyen LSA Korumasını Windows Güvenlik ayarlarından etkinleştirememesidir.
LSA korumasının, Çekirdek modu Donanım-uygulamalı Yığın Korumasına dahil olup olmadığı veya kullanıcıların Kayıt Defteri aracılığıyla manuel olarak etkinleştirmesini gerektirecek şekilde Windows Ayar arabiriminden tamamen kaldırılıp kaldırılmadığı bile net değil.
Ayrıca, Windows Güvenliği’nde bulunan kısa açıklama ve dağınık belgeler dışında, Microsoft’tan bu güvenlik özelliklerinin değiştirilmesi veya Çekirdek Modu Donanımla Uygulanan Yığın Korumasının eklenmesi hakkında herhangi bir bildirim olmamıştır. [1, 2, 3] Yığın Koruma özelliğinde.
BleepingComputer, Microsoft’a yeni Yığın Koruma özelliğinin artık LSA Koruması’nın içinde olup olmadığını ve insanların yaşadığı çatışmaları sordu.
Bu makale, aldığımız yanıtlarla güncellenecektir.