Microsoft, özelliğin kullanıcı arayüzünü ayarlardan kaldırarak Yerel Güvenlik Yetkilisi (LSA) Korumasının kapalı olduğuna dair Windows Güvenlik uyarılarını tetikleyen bilinen bir sorunu düzeltti.
LSA Koruması, belleğini boşaltmak veya bilgileri ayıklamak için LSASS.exe işlemine güvenilmeyen kod eklenmesini önleyerek Windows kullanıcılarının kimlik bilgileri hırsızlığına karşı korunmasına yardımcı olur.
Microsoft, “Yerel Güvenlik Yetkilisi koruması kapalı. Cihazınız savunmasız olabilir.” LSA Koruması zaten etkinleştirilmiş olmasına rağmen uyarılar.
Şirketin açıkladığı gibi, sorun Windows 11 21H2 ve 22H2 sistemlerini etkiliyor ve hatalı bir Microsoft Defender Antivirus kötü amaçlı yazılımdan koruma platformu güncellemesinden kaynaklanıyordu.
Redmond şimdi yeni bir Microsoft Defender Antivirus kötü amaçlı yazılımdan koruma platformu güncellemesinde kafa karıştırıcı uyarıları düzelttiklerini söylüyor.
“Bu sorun, Microsoft Defender Antivirus kötü amaçlı yazılımdan koruma platformu KB5007651 (Sürüm 1.0.2303.27001) için bir güncelleştirmede çözüldü. Güncelleştirmeyi otomatik olarak yüklenmeden önce yüklemek isterseniz, güncelleştirmeleri kontrol etmeniz gerekecek.” Microsoft’tan Windows Sağlık panosu.
Ancak BleepingComputer, LSA Koruması kullanıcı arabirimini Windows Ayarları uygulamasından tamamen kaldırarak bunun düzeltildiğini ve uyarıların artık görüntülenmemesine neden olduğunu öğrendi.
BleepingComputer ayrıca, kullanıcı arayüzü ayarlardan kaldırılmış olmasına rağmen LSA Korumasının hala desteklendiğini ve kullanıcıların Kayıt Defteri veya Grup/MDM politikalarını kullanarak güvenlik özelliğini manuel olarak etkinleştirebileceğini/devre dışı bırakabileceğini de öğrendi.
Ancak, kullanıcı arabirimi olmadan, LSA Korumasının etkinleştirilip etkinleştirilmediğini Windows ayarlarından kontrol etmenin bir yolu yoktur.
Buna rağmen, kullanıcılar özelliğin etkinleştirilip etkinleştirilmediğini Windows Olay Görüntüleyicisi kullanarak kontrol edebilir. “LSASS.exe, düzey:4 ile korumalı bir işlem olarak başlatıldı” diyen bir Wininit olayı 12 görürseniz, bu, işlemin izole edildiği ve LSA Koruması tarafından korunduğu anlamına gelir.
Çekirdek modu Donanım tarafından uygulanan Yığın Koruması uyarıları
BleepingComputer’ın geçen hafta Windows Güvenliği > Cihaz Güvenliği > Temel İzolasyon ayarları sayfasından LSA Koruması kullanıcı arayüzünün kaldırılmasından sonra bildirdiği gibi, kullanıcılar artık benzer uyarılar görüyorlar ve bu sefer onları cihazlarının Çekirdek modu Donanım zorlamalı olduğu için savunmasız olabileceği konusunda uyarıyorlar. Çakışan sürücüler nedeniyle Yığın Koruması (HSP) kapalı.
Çekirdek modu HSP, Intel’in Control-flow Enforcement Technology (CET) veya ARM’s Pointer Authentication Code (PAC) gibi modern CPU donanım özelliklerini kullanarak kötü amaçlı kod yürütülmesine yol açabilecek ROP (Geri Dönüş Odaklı Programlama) tabanlı kontrol akışı saldırılarına karşı koruma sağlar.
Bu güvenlik özelliği etkinleştirildiğinde, Windows uyumsuz sürücülerin yüklenmemesini sağlar; ancak kullanıcılar, etkilenen sistemlerde uyumsuz sürücüler listesinin boş olduğunu bildiriyor.
Ayrıca, uyumsuz olduğu tespit edilen bazı çakışan oyun hile önleme sürücüleri, Çekirdek modu HSP etkinleştirildiğinde Windows çökmelerini tetikleyecek veya oyunların başlatılmasını engelleyecektir. Bu sorundan etkilenen oyunlar arasında PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, Phantasy Star Online 2 (Game Guard) ve Dayz yer alıyor.
Geçen ay Microsoft ayrıca, sistemleri bir uyumsuzluk denetim kontrolünden geçerse, Canary kanalındaki Windows 11 Insider’ları için LSA Korumasının varsayılan olarak etkinleştirileceğini duyurdu (Microsoft, denetlenmekte olan uyumluluk sorunları hakkında henüz ayrıntı sağlamadı).