Microsoft изтегля актуализацията на Defender

Microsoft изтегля актуализацията на Defender
Microsoft Threat Protection

Microsoft изтегли неотдавнашна актуализация на Microsoft Defender, която трябваше да отстрани известен проблем, предизвикващ постоянни предупреждения за рестартиране и предупреждения от Windows Security, че защитата на Local Security Authority (LSA) е изключена.

LSA Protection помага за предпазване на потребителите на Windows от опити за кражба на удостоверения, като предотвратява дъмпинга на паметта на процеса LSASS и инжектирането на ненадежден код в процеса LSASS.exe, което в противен случай би позволило извличането на чувствителна информация.

Microsoft призна за проблема на 21 март, след като се разпространиха съобщения от потребители за системи с Windows 11, предупреждаващи, че защитата LSA е изключена. Въпреки това в потребителския интерфейс за настройки тя се показваше като включена.

От Редмънд твърдят, че предупрежденията за постоянно рестартиране, предизвикани от този известен проблем, ще се появяват само в системите Windows 11 21H2 и 22H2.

В последваща актуализация на Microsoft Defender, издадена седмици по-късно, настройката на потребителския интерфейс на функцията LSA Protection е заменена с нова функция, наречена Hardware-enforced Stack Protection в режим на ядрото. За съжаление Microsoft не е документирала тази промяна, което води до объркване на потребителите.

„Защитата LSA не е премахната – тя все още е вградена и включена по подразбиране в машините с Windows 11. В последната версия на Windows Insider Preview имаше актуализация, която промени външния вид на потребителския интерфейс (UI) за тази функция“, заявиха от Microsoft, като погрешно са казали, че тя е само в Windows 11 Insider builds, докато тя вече е налична в Windows 11 22H2.

Седмица по-късно, на 26 април, от Редмънд обявиха, че са отстранили проблема с потребителския интерфейс на LSA Protection, обаче това е станало само чрез премахване на настройката в актуализацията KB5007651 Defender, за да се гарантира, че объркващите предупреждения вече няма да се показват в приложението Windows Settings.

Актуализацията на Defender причинява сини екрани и случайни рестартирания

Днес от Редмънд разкриха, че са решили да спрат разпространението на актуализацията KB5007651 Defender поради сини екрани или неочаквани рестартирания на системата при игра на игри, засягащи системите с Windows 11, в които е била внедрена актуализацията Defender.

„Този известен проблем преди това беше разрешен с актуализация за антивирусната платформа Microsoft Defender Antivirus KB5007651 (версия 1.0.2303.27001), но бяха открити проблеми и тази актуализация вече не се предлага на устройствата“, заявиха от Microsoft.

„Ако сте инсталирали версия 1.0.2303.27001 и получавате грешка със син екран или ако устройството ви се рестартира при опит за отваряне на някои игри или приложения, ще трябва да деактивирате Hardware-enforced Stack Protection в режим на ядрото.“

За да деактивирате Kernel-mode HSP, ще трябва да отидете в Device Security (Сигурност на устройството) > Core Isolation (Изолиране на ядрото) в приложението Windows Security (Сигурност на Windows) и да превключите функцията „Kernel-mode Hardware-enforced Stack Protection“ (Защита на стека, наложена от хардуера в ядрото).

Въпреки това Microsoft не предоставя никаква информация за това какво трябва да направят засегнатите потребители, които вече са инсталирали KB5007651, за да се справят с рестартирането на системата и сините екрани, причинени от тази грешна актуализация на Defender, освен да деактивират функцията за защита на стека в режим на ядрото, наложена от хардуера.

Някои от конфликтните драйвери за борба с измамите в игрите, които причиняват сривове или конфликти в Windows, когато е активирана функцията HSP в режим на ядрото, включват PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, Phantasy Star Online 2 (Game Guard) и Dayz.

Наличен е обходен път до пускането на поправка

Microsoft съобщава, че работи по друга поправка за непрестанните предупреждения за LSA Protection, засягащи системите с Windows 11, и ще предостави повече подробности възможно най-скоро.

От Редмънд споделиха и обходен път за клиентите, които не са инсталирали KB5007651 и все още виждат предупреждения за рестартиране, като ги помолиха да игнорират известията за рестартиране.

„Ако сте активирали защитата на Local Security Authority (LSA) и сте рестартирали устройството си поне веднъж, можете да отхвърлите предупредителните известия и да игнорирате всички допълнителни известия, подканващи за рестартиране“, казва компанията.

Можете да проверите дали функцията е активирана на вашия компютър, като използвате Windows Event Viewer, като потърсите събитие на Wininit, в което се казва, че „LSASS.exe е стартиран като защитен процес с ниво:4“, което показва, че процесът е изолиран и защитен от LSA Protection.

Преди два месеца Microsoft обяви, че LSA Protection ще бъде активирана по подразбиране за Windows 11 Insiders в канала Canary, ако техните системи преминат успешно одитна проверка за несъвместимост.

Източник: e-security.bg

Сподели в:

Категории:

Следвай ни в: