Microsoft a publié une récente mise à jour de Microsoft Defender censée résoudre un problème connu déclenchant des alertes de redémarrage persistantes et des avertissements de sécurité Windows indiquant que la protection de l’autorité de sécurité locale (LSA) est désactivée.
La protection LSA aide à protéger les utilisateurs Windows contre les tentatives de vol d’informations d’identification en empêchant le vidage de la mémoire du processus LSASS et l’injection de code non approuvé dans le processus LSASS.exe, ce qui permettrait autrement l’extraction d’informations sensibles.
Microsoft a reconnu le problème le 21 mars, après de nombreux rapports d’utilisateurs concernant les systèmes Windows 11 avertissant que la protection LSA était désactivée. Cependant, il était affiché dans l’interface utilisateur des paramètres comme étant activé.
Redmond indique que les alertes de redémarrage persistantes déclenchées par ce problème connu n’apparaîtront que sur les systèmes Windows 11 21H2 et 22H2.
Une mise à jour ultérieure de Microsoft Defender publiée des semaines plus tard a remplacé le paramètre d’interface utilisateur de la fonctionnalité de protection LSA par une nouvelle fonctionnalité appelée protection de pile renforcée par le matériel en mode noyau. Malheureusement, Microsoft n’a pas documenté ce changement, ce qui a semé la confusion chez les utilisateurs.
« La protection LSA n’a pas été supprimée – elle est toujours intégrée et activée par défaut sur les machines Windows 11. Dans le dernier Windows Insider Preview, une mise à jour a modifié l’apparence de l’interface utilisateur (UI) pour cette fonctionnalité », Microsoft a déclaré à Breachtrace , disant à tort que ce n’était que dans les versions de Windows 11 Insider alors qu’il était déjà disponible dans Windows 11 22H2.
Une semaine plus tard, le 26 avril, Redmond a annoncé avoir résolu le problème de l’interface utilisateur de protection LSA, cependant, cela a été fait en supprimant le paramètre dans la mise à jour KB5007651 Defender pour garantir que les alertes déroutantes ne seraient plus affichées dans l’application Paramètres Windows.
Mise à jour de Defender provoquant des écrans bleus et des redémarrages aléatoires
Aujourd’hui, Redmond a révélé qu’il avait décidé d’arrêter de pousser la mise à jour KB5007651 Defender en raison d’écrans bleus ou de redémarrages inattendus du système lors de jeux affectant les systèmes Windows 11 où la mise à jour Defender a été déployée.
« Ce problème connu a déjà été résolu avec une mise à jour pour la plate-forme antimalware Microsoft Defender Antivirus KB5007651 (version 1.0.2303.27001), mais des problèmes ont été détectés et cette mise à jour n’est plus proposée aux appareils », a déclaré Microsoft.
« Si vous avez installé la version 1.0.2303.27001 et recevez une erreur avec un écran bleu, ou si votre appareil redémarre lorsque vous essayez d’ouvrir certains jeux ou applications, vous devrez désactiver la protection de la pile renforcée par le matériel en mode noyau. »
Pour désactiver le HSP en mode noyau, vous devrez accéder à Sécurité de l’appareil > Isolation du noyau dans l’application Sécurité Windows et basculer la fonction « Protection de la pile renforcée par le matériel en mode noyau ».
Cependant, Microsoft ne fournit aucune information sur ce que les utilisateurs concernés qui ont déjà installé KB5007651 doivent faire pour résoudre les redémarrages du système et les écrans bleus causés par cette mise à jour boguée de Defender autre que pour désactiver la fonction de protection de pile renforcée par le matériel en mode noyau.
PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, Phantasy Star Online 2 (Game Guard) et Dayz comptent parmi les pilotes anti-triche de jeu en conflit provoquant des plantages ou des conflits Windows lorsque le HSP en mode noyau est activé.
Solution de contournement disponible jusqu’à ce qu’un correctif soit publié
Microsoft dit qu’il travaille sur un autre correctif pour les avertissements incessants de protection LSA affectant les systèmes Windows 11 et fournira plus de détails dès que possible.
Redmond a également partagé une solution de contournement pour les clients qui n’ont pas installé KB5007651 et qui voient toujours des avertissements de redémarrage, leur demandant d’ignorer les notifications de redémarrage.
« Si vous avez activé la protection de l’autorité de sécurité locale (LSA) et que vous avez redémarré votre appareil au moins une fois, vous pouvez ignorer les notifications d’avertissement et ignorer toute notification supplémentaire demandant un redémarrage », indique la société.
Vous pouvez vérifier si la fonctionnalité est activée sur votre ordinateur à l’aide de l’Observateur d’événements Windows en recherchant un événement Wininit indiquant que « LSASS.exe a été démarré en tant que processus protégé avec le niveau : 4 », indiquant que le processus est isolé et protégé par LSA. Protection.
Bien que Breachtrace ait précédemment signalé que ces avertissements peuvent être évités en ajoutant deux entrées de registre, Microsoft ne « recommande aucune autre solution de contournement pour ce problème ».
Il y a deux mois, Microsoft a annoncé que la protection LSA serait activée par défaut pour les initiés de Windows 11 dans le canal Canary si leurs systèmes réussissaient un audit d’incompatibilité.
Un gâchis déroutant
Microsoft continue de discuter de manière confuse de la protection de la pile renforcée par le matériel en mode noyau dans les étapes de dépannage concernant la protection LSA.
Dans le passé, Microsoft a spécifiquement indiqué à Breachtrace que les deux fonctionnalités n’étaient pas liées, mais ils continuent de les confondre dans les bulletins d’assistance.
« La protection de la pile appliquée par le matériel LSA et en mode noyau sont des paramètres distincts. Dans la dernière version de Windows Insider Preview, le paramètre HSP en mode noyau a été ajouté. Il ne remplace pas la protection LSA », a déclaré Microsoft à Breachtrace .
Cependant, même ces informations sont incorrectes, car le HSP en mode noyau est déjà dans les versions de production et pas seulement dans les aperçus de Windows Insider, ce qui crée encore plus de confusion.
Microsoft n’a toujours pas publié de documentation officielle sur la protection de la pile renforcée par le matériel en mode noyau, bien qu’elle soit disponible dans Windows 11 depuis près d’un mois.