Microsoft Defender problem

紛らわしい混乱の中で、最近の Microsoft Defender の更新プログラムは、LSA 保護機能を削除しながら、「カーネル モードのハードウェア強制スタック保護」と呼ばれる新しいセキュリティ機能を展開しました。残念ながら、Microsoft はこの変更に関するドキュメントを提供していないため、回答よりも多くの質問が寄せられています。

Local Security Authority Protection (別名 LSA Protection) は、信頼されていないコードが LSASS プロセスに挿入されたり、LSASS プロセスのメモリ ダンプが作成されたりするのをブロックすることで、資格情報などの機密情報が盗まれるのを防ぐセキュリティ機能です。

Windows ユーザーは、仮想化をサポートする CPU の [Windows セキュリティ] > [デバイス セキュリティ] > [コア分離] 設定ページで LSA 保護を有効にすることができます。

ただし、過去数週間、Windows 11 ユーザーは、Windows セキュリティの「コア分離」設定でローカル セキュリティ機関保護セキュリティ機能を有効にできないと不満を漏らしていました。

そうしようとすると、Windows はユーザーにコンピューターを再起動して機能を有効にするように求めますが、再起動すると有効にならず、Windows は再起動プロンプトをもう一度表示します。

LSA 保護警告の繰り返し
LSA 保護警告の繰り返し

Microsoft は後に、LSA 保護を有効にしてデバイスを少なくとも 1 回再起動した場合は、これらの警告を無視できると述べています。

LSA 保護が有効になっているかどうかを確認するための回避策と、2 つのレジストリ キーを構成して警告を無効にする方法も提供されています

Microsoft Defender の更新により混乱が生じる

最近の Microsoft Defender の更新により、この機能がさらに混乱するようになりました。これは、インストール後に LSA 保護機能が削除され、カーネル モードのハードウェア強制スタック保護と呼ばれる新しい機能に置き換えられるためです。

新しいカーネルモードのハードウェア強制スタック保護設定
新しいカーネルモードのハードウェア強制スタック保護設定
ソース:

カーネルモードのハードウェア強制スタック保護は、コード実行につながる可能性のある ROP (Return Oriented Programming) ベースの制御フロー攻撃を防止しようとするセキュリティ機能です。

「カーネル モードで実行されているコードの場合、CPU は要求されたリターン アドレスをシャドウ スタックに保存されているアドレスの 2 番目のコピーで確認し、攻撃者が悪意のあるコードを実行するアドレスに置き換えることを防ぎます」と、Windows カーネルモード ハードウェア強制スタックは説明しています保護設定。

「すべてのドライバーがこのセキュリティ機能と互換性があるわけではないことに注意してください。」

ただし、この機能を使用するには、Windows デバイスが Intel Tiger Lake CPU または AMD Zen3 CPU 以降を使用している必要があります。したがって、デバイスに必要なハードウェアがある場合にのみ、Windows はこの新しい設定を表示します。

カーネルモードのハードウェア強制スタック保護は利用できません
カーネルモードのハードウェア強制スタック保護は利用できません
ソース:

メモリの整合性と同様に、カーネル モードのハードウェア強制スタック保護を有効にすると、Windows は互換性のないドライバーが Windows に読み込まれないようにします。存在する場合、スタック保護機能は有効にならず、Windows は互換性のないドライバーのリストを表示します。

Windows 11 ユーザーは、競合するドライバーが原因で新機能が無効になっているという Windows セキュリティ通知を見たと報告するようになりました。ただし、リストを調べると空であり、機能を有効にする方法がわかりにくくなっています。

さらに悪いことに、一部の競合するゲーム アンチチート ドライバーは互換性がないものとして検出されず、カーネル モードのハードウェア強制スタック保護が引き続き有効になっています。これらの競合するドライバーが原因で、Windows がクラッシュしたり、セキュリティ機能が有効になっていてゲームが起動されたときにゲームが実行されなくなったりします。

互換性のないドライバーに対するハードウェア強制スタック保護警告
互換性のないドライバーに対するハードウェア強制スタック保護警告
ソース: Reddit

Windows 11 ユーザーは、 PUBGValorantBloodhuntDestiny 2Genshin Impact 、およびDayzについてこの問題を報告しています。

LSA 保護はどうなりましたか?

さらにイライラするのは、Windows 11 ユーザーが Windows セキュリティ設定から新しい CPU を必要としない LSA 保護を有効にできなくなったことです。

LSA 保護がカーネルモードのハードウェア強制スタック保護にバンドルされているのか、それとも Windows 設定インターフェイスから完全に削除されており、ユーザーがレジストリを介して手動で有効にする必要があるのかさえ明らかではありません。

さらに、これらセキュリティ機能の交換やカーネルモードハードウェア強制スタック保護の追加について Microsoft からの通知ありません。スタック保護機能。

新しいスタック保護機能について、LSA 保護がバンドルされているかどうか、および人々が抱えている競合について Microsoft に尋ねました。

この記事は、受け取った回答で更新されます。