Microsoft, kalıcı yeniden başlatma uyarılarını ve Yerel Güvenlik Yetkilisi (LSA) Korumasının kapalı olduğuna dair Windows Güvenlik uyarılarını tetikleyen bilinen bir sorunu düzeltmesi beklenen yeni bir Microsoft Defender güncellemesini geri çekti.
LSA Koruması, LSASS işlem belleği dökümünü ve aksi takdirde hassas bilgilerin çıkarılmasına izin verecek olan güvenilmeyen kodun LSASS.exe işlemine eklenmesini engelleyerek Windows kullanıcılarının kimlik bilgisi hırsızlığı girişimlerinden korunmasına yardımcı olur.
Microsoft, Windows 11 sistemleriyle ilgili LSA korumasının kapalı olduğuna dair uyarı veren yaygın kullanıcı raporlarının ardından 21 Mart’ta sorunu kabul etti. Ancak, ayarlar kullanıcı arayüzünde açık olarak gösteriliyordu.
Redmond, bu bilinen sorun tarafından tetiklenen kalıcı yeniden başlatma uyarılarının yalnızca Windows 11 21H2 ve 22H2 sistemlerinde görüneceğini söylüyor.
Haftalar sonra yayınlanan bir Microsoft Defender güncellemesi, LSA Koruması özelliğinin kullanıcı arabirimi ayarını, Çekirdek modu Donanım tarafından uygulanan Yığın Koruması adı verilen yeni bir özellikle değiştirdi. Ne yazık ki, Microsoft bu değişikliği belgelememiştir ve bu da kullanıcı karışıklığına yol açmaktadır.
“LSA Koruması kaldırılmadı – Windows 11 makinelerinde varsayılan olarak yerleşik olarak yer almaya devam ediyor. En son Windows Insider Önizleme’de, bu özellik için kullanıcı arayüzünün (UI) görünümünü değiştiren bir güncelleme vardı.” BleepingComputer’a yanlışlıkla Windows 11 22H2’de zaten mevcutken yalnızca Windows 11 Insider yapılarında olduğunu söyledi.
Bir hafta sonra, 26 Nisan’da Redmond, LSA Koruması Kullanıcı Arabirimi sorununu düzelttiklerini duyurdu, ancak bu, kafa karıştırıcı uyarıların artık Windows Ayarları uygulamasında görüntülenmemesini sağlamak için KB5007651 Defender güncellemesindeki ayar kaldırılarak yapıldı.
Mavi ekranlara ve rastgele yeniden başlatmalara neden olan Defender güncellemesi
Bugün Redmond, Defender güncellemesinin dağıtıldığı Windows 11 sistemlerini etkileyen oyunlar sırasında ortaya çıkan mavi ekranlar veya beklenmeyen sistem yeniden başlatmaları nedeniyle KB5007651 Defender güncellemesini yayınlamayı durdurmaya karar verdiğini açıkladı.
Microsoft, “Bu bilinen sorun, daha önce Microsoft Defender Antivirus kötü amaçlı yazılımdan koruma platformu KB5007651 (Sürüm 1.0.2303.27001) için bir güncelleme ile çözülmüştü, ancak sorunlar bulundu ve bu güncelleme artık cihazlara sunulmuyor.”
“Sürüm 1.0.2303.27001’i yüklediyseniz ve mavi ekranla ilgili bir hata alırsanız veya bazı oyunları veya uygulamaları açmaya çalışırken cihazınız yeniden başlarsa, Çekirdek modu Donanım tarafından uygulanan Yığın Korumasını devre dışı bırakmanız gerekir.”
Çekirdek modu HSP’yi devre dışı bırakmak için, Windows Güvenlik uygulamasında Cihaz Güvenliği > Çekirdek İzolasyonu’na gitmeniz ve “Çekirdek modu Donanım tarafından uygulanan Yığın Koruması” özelliğini değiştirmeniz gerekir.
Ancak Microsoft, KB5007651’i zaten yüklemiş olan etkilenen kullanıcıların, bu hatalı Defender güncellemesinin neden olduğu sistem yeniden başlatmaları ve mavi ekranları gidermek için Çekirdek modu Donanım tarafından uygulanan Yığın Koruma özelliğini devre dışı bırakmak dışında ne yapmaları gerektiği hakkında herhangi bir bilgi sağlamaz.
Çekirdek modu HSP etkinleştirildiğinde Windows çökmelerine veya çakışmalarına neden olan çakışan oyun hile önleme sürücülerinden bazıları arasında PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, Phantasy Star Online 2 (Game Guard) ve Dayz yer alır.
Bir düzeltme yayınlanana kadar geçici çözüm kullanılabilir
Microsoft, Windows 11 sistemlerini etkileyen amansız LSA Koruması uyarıları için başka bir düzeltme üzerinde çalıştığını ve mümkün olan en kısa sürede daha fazla ayrıntı sağlayacağını söylüyor.
Redmond ayrıca, KB5007651’i yüklememiş ve hâlâ yeniden başlatma uyarıları gören müşteriler için yeniden başlatma bildirimlerini yok saymalarını isteyen bir geçici çözüm paylaştı.
Şirket, “Yerel Güvenlik Yetkilisi (LSA) korumasını etkinleştirdiyseniz ve cihazınızı en az bir kez yeniden başlattıysanız, uyarı bildirimlerini kapatabilir ve yeniden başlatma isteyen ek bildirimleri yok sayabilirsiniz” diyor.
Windows Olay Görüntüleyici’yi kullanarak, “LSASS.exe, düzey:4 ile korumalı bir işlem olarak başlatıldı” diyen ve işlemin izole edildiğini ve LSA tarafından korunduğunu belirten bir Wininit olayı arayarak, özelliğin bilgisayarınızda etkinleştirilip etkinleştirilmediğini kontrol edebilirsiniz. Koruma.
BleepingComputer daha önce bu uyarıların iki kayıt defteri girişi eklenerek önlenebileceğini bildirmiş olsa da, Microsoft “bu sorun için başka bir geçici çözüm önermemektedir.”
İki ay önce Microsoft, sistemleri bir uyumsuzluk denetimi kontrolünden geçerse, Canary kanalındaki Windows 11 Insider’ları için LSA Korumasının varsayılan olarak etkinleştirileceğini duyurdu.
kafa karıştırıcı bir karmaşa
Microsoft, LSA Koruması ile ilgili sorun giderme adımlarında Çekirdek Modu Donanımla Uygulanan Yığın Korumasını kafa karıştırıcı bir şekilde tartışmaya devam ediyor.
Geçmişte Microsoft, BleepingComputer’a iki özelliğin ilgisiz olduğunu, ancak destek bültenlerinde iki özelliği birleştirmeye devam ettiklerini özellikle söylemişti.
Microsoft, BleepingComputer’a “LSA ve Çekirdek modu donanım zorlamalı yığın koruması ayrı ayarlardır. En son Windows Insider Preview derlemesinde, çekirdek modu HSP ayarı eklenmiştir. Bu, LSA korumasının yerine geçmez” dedi.
Ancak, Çekirdek modu HSP’nin yalnızca Windows Insider önizlemeleri değil, halihazırda üretimde olduğu ve daha da fazla karışıklığa neden olduğu için bu bilgiler bile yanlıştır.
Microsoft, neredeyse bir aydır Windows 11’de mevcut olmasına rağmen, Çekirdek modu Donanım tarafından uygulanan Yığın Koruması hakkında herhangi bir resmi belge yayınlamadı.