Microsoft は、永続的な再起動アラートと、ローカル セキュリティ機関 (LSA) 保護がオフであるという Windows セキュリティ警告をトリガーする既知の問題を修正することを目的とした最新の Microsoft Defender アップデートをリリースしました。
LSA Protection は、LSASS プロセスのメモリ ダンピングや、LSASS.exe プロセスへの信頼できないコードの挿入 (機密情報の抽出を可能にしてしまう) を阻止することで、Windows ユーザーを資格情報の盗難の試みから保護します。
Windows 11 システムに関するユーザーから LSA 保護がオフになっていると警告する報告が広範に寄せられたことを受け、Microsoft は 3 月 21 日にこの問題を認めました。ただし、設定ユーザー インターフェイスではオンになっているように表示されていました。
レドモンド氏によると、この既知の問題によって引き起こされる永続的な再起動アラートは、Windows 11 21H2および22H2システムでのみ表示されるという。
数週間後に発行された後続の Microsoft Defender 更新プログラムでは、LSA 保護機能のユーザー インターフェイス設定が、「 カーネル モード ハードウェア強制スタック保護」と呼ばれる新機能に置き換えられました。残念ながら、Microsoft はこの変更を文書化していないため、ユーザーの混乱を引き起こしています。
「LSA 保護は削除されていません。Windows 11 マシンには引き続きデフォルトで組み込まれています。最新の Windows Insider Preview には、この機能のユーザー インターフェイス (UI) の外観を変更する更新がありました。」は、Windows 11 22H2 ですでに利用可能であったのに、Windows 11 Insider ビルドでのみ利用可能であると誤って言いました。
1 週間後の 4 月 26 日、レドモンドは LSA Protection UI の問題を修正したと発表しましたが、これは KB5007651 Defender アップデートの設定を削除して、紛らわしいアラートが Windows 設定アプリに表示されないようにしただけでした。
Defender のアップデートによりブルー スクリーンやランダムな再起動が発生する
本日、レドモンドは、Defender アップデートが展開されている Windows 11 システムに影響を与えるゲーム時のブルー スクリーンや予期しないシステム再起動を理由に、KB5007651 Defender アップデートのプッシュを停止することを決定したことを明らかにしました。
「この既知の問題は、Microsoft Defender Antivirus マルウェア対策プラットフォーム KB5007651 (バージョン 1.0.2303.27001) の更新プログラムで以前に解決されましたが、問題が発見されたため、その更新プログラムはデバイスに提供されなくなりました。」と Microsoft は述べています。
「バージョン 1.0.2303.27001 をインストールしていて、ブルー スクリーンでエラーが発生した場合、または一部のゲームやアプリを開こうとしたときにデバイスが再起動した場合は、カーネル モードのハードウェア強制スタック保護を無効にする必要があります。」
カーネル モード HSP を無効にするには、Windows セキュリティ アプリで [デバイス セキュリティ] > [コア分離] に移動し、[カーネル モード ハードウェア強制スタック保護] 機能を切り替える必要があります。
ただし、Microsoft は、KB5007651 を既にインストールしている影響を受けるユーザーが、カーネル モードのハードウェア強制スタック保護機能を無効にすること以外に、このバグのある Defender アップデートによって引き起こされるシステムの再起動とブルー スクリーンに対処するために何をすべきかに関する情報を提供していません。
カーネル モード HSP が有効になっているときに Windows のクラッシュまたは競合を引き起こす競合するゲーム アンチチート ドライバーには、 PUBG 、 Valorant (Riot Vanguard)、 Bloodhunt 、 Destiny 2 、 Genshin Impact 、 Phantasy Star Online 2 (Game Guard)、 Dayzなどがあります。
修正がリリースされるまで回避策が利用可能
Microsoft は、Windows 11 システムに影響を与える執拗な LSA Protection 警告に対する別の修正に取り組んでおり、できるだけ早く詳細を提供すると述べています。
Redmond はまた、KB5007651 をインストールしていないにもかかわらず再起動警告が表示される顧客に対する回避策を共有し、再起動通知を無視するよう求めました。
「ローカルセキュリティ機関(LSA)保護を有効にし、デバイスを少なくとも1回再起動した場合は、警告通知を無視し、再起動を促す追加の通知を無視できます」と同社は述べています。
Windows イベント ビューアを使用して、「LSASS.exe がレベル 4 の保護されたプロセスとして開始されました」という Wininit イベントを探すことで、この機能がコンピュータで有効になっているかどうかを確認できます。これは、プロセスが LSA によって分離され保護されていることを示しています。保護。
これらの警告は 2 つのレジストリ エントリを追加することで回避できると以前に報告しましたが、Microsoft は「この問題に対する他の回避策は推奨しません」。
2 か月前、Microsoft は、システムが非互換性監査チェックに合格した場合、Canary チャネルの Windows 11 Insiders に対してLSA 保護がデフォルトで有効になると発表しました。
混乱を招く混乱
Microsoft は、LSA 保護に関するトラブルシューティングの手順で、カーネル モードのハードウェア強制スタック保護について混乱を招くような議論を続けています。
Microsoft は以前、この 2 つの機能には関連性がないことを明確に述べていましたが、サポート情報では引き続き 2 つの機能を混同しています。
「LSA とカーネル モードのハードウェア強制スタック保護は別の設定です。最新の Windows Insider Preview ビルドでは、カーネル モード HSP 設定が追加されました。これは LSA 保護の代替ではありません」と Microsoft は述べました。
ただし、カーネル モード HSP は Windows Insider プレビューだけでなくすでに実稼働ビルドに入っているため、この情報さえも誤りであり、さらなる混乱を引き起こしています。
Microsoft は、カーネル モードのハードウェア強制スタック保護に関する公式ドキュメントをまだリリースしていませんが、Windows 11 ではほぼ 1 か月前から利用可能になっています。
Comments