Microsoft Defender の更新により、Windows ハードウェアスタック保護が混乱する

紛らわしい混乱の中で、最近の Microsoft Defender の更新プログラムは、LSA 保護機能を削除しながら、「カーネルモードのハードウェア強制スタック保護」と呼ばれる新しいセキュリティ機能を展開しました。残念ながら、Microsoft はこの変更に関するドキュメントを提供していないため、回答よりも多くの質問が寄せられています。

Local Security Authority Protection (別名 LSA Protection) は、信頼されていないコードが LSASS プロセスに挿入されたり、LSASS プロセスのメモリダンプが作成されたりするのをブロックすることで、資格情報などの機密情報が盗まれるのを防ぐセキュリティ機能です。

Windows ユーザーは、仮想化をサポートする CPU の [Windows セキュリティ] > [デバイスセキュリティ] > [コア分離] 設定ページで LSA 保護を有効にすることができます。

ただし、過去数週間、Windows 11 ユーザーは、Windows セキュリティの「コア分離」設定でローカルセキュリティ機関保護セキュリティ機能を有効にできないと不満を漏らしていました。

そうしようとすると、Windows はユーザーにコンピューターを再起動して機能を有効にするように求めますが、再起動すると有効にならず、Windows は再起動プロンプトをもう一度表示します。

Microsoft は後に、LSA 保護を有効にしてデバイスを少なくとも 1 回再起動した場合は、これらの警告を無視できると述べています。

LSA 保護が有効になっているかどうかを確認するための回避策と、2 つのレジストリキーを構成して警告を無効にする方法も提供されています。

Microsoft Defender の更新により混乱が生じる
LSA 保護はどうなりましたか?

Microsoft Defender の更新により混乱が生じる

最近の Microsoft Defender の更新により、この機能がさらに混乱するようになりました。これは、インストール後に LSA 保護機能が削除され、カーネルモードのハードウェア強制スタック保護と呼ばれる新しい機能に置き換えられるためです。

カーネルモードのハードウェア強制スタック保護は、コード実行につながる可能性のある ROP (Return Oriented Programming) ベースの制御フロー攻撃を防止しようとするセキュリティ機能です。

「カーネルモードで実行されているコードの場合、CPU は要求されたリターンアドレスをシャドウスタックに保存されているアドレスの 2 番目のコピーで確認し、攻撃者が悪意のあるコードを実行するアドレスに置き換えることを防ぎます」と、Windows カーネルモードハードウェア強制スタックは説明しています保護設定。

「すべてのドライバーがこのセキュリティ機能と互換性があるわけではないことに注意してください。」

ただし、この機能を使用するには、Windows デバイスが Intel Tiger Lake CPU または AMD Zen3 CPU 以降を使用している必要があります。したがって、デバイスに必要なハードウェアがある場合にのみ、Windows はこの新しい設定を表示します。

**カーネルモードのハードウェア強制スタック保護は利用できません**
*ソース：*

メモリの整合性と同様に、カーネルモードのハードウェア強制スタック保護を有効にすると、Windows は互換性のないドライバーが Windows に読み込まれないようにします。存在する場合、スタック保護機能は有効にならず、Windows は互換性のないドライバーのリストを表示します。

Windows 11 ユーザーは、競合するドライバーが原因で新機能が無効になっているという Windows セキュリティ通知を見たと報告するようになりました。ただし、リストを調べると空であり、機能を有効にする方法がわかりにくくなっています。

さらに悪いことに、一部の競合するゲームアンチチートドライバーは互換性がないものとして検出されず、カーネルモードのハードウェア強制スタック保護が引き続き有効になっています。これらの競合するドライバーが原因で、Windows がクラッシュしたり、セキュリティ機能が有効になっていてゲームが起動されたときにゲームが実行されなくなったりします。