[English]Der Windows Defender scheint sich für Windows 11-Nutzer langsam zum Problembären zu entwickeln. Oder Microsoft hat seine Entwicklung nicht mehr wirklich im Griff. Zum zweiten Mal binnen weniger Tage hat mich ein Blog-Leser kontaktiert, weil der Windows Defender in seiner Unternehmensumgebung Fehler im Zusammenhang mit der Funktion "Hardware-gestützter Stapelschutz im Kernel-Modus" bringt.
Anzeige
Rückblick: Defender-Update KB5007651
Bereits zum 19. April 2023 hatte ich den Beitrag Windows 11: Defender-Update KB5007651 bringt FASR, korrigiert LAS-Bug, verursacht aber weiter Probleme hier im Blog, der eine Lesermeldung aufgriff. Dem Leser war ein Defender-Update KB5007651 unter Windows 11 installiert worden, dass bei ihm Probleme bereitete.
Zum Hintergrund: Das Update machte im März 2023 bei Windows 11 Probleme, weil das Sicherheitscenter einen deaktivierten Schutz anzeigte. Die Nutzer erhielten zudem im Zuverlässigkeitsverlauf, der Einträge aus der Ereignisanzeige aufbereitet, den Hinweis dass "Security Health Service exe" nicht mehr funktionstüchtig sei. Eigentlich sollte das Update des Defender zum 18. April 2023 den Local Security Authority-Bug (LSA) in Windows 11 beseitigen.
Das war aber wohl nur bei einigen Nutzern der Fall. Beim Blog-Leser kam die Ernüchterung, dass die Defender-Option Speicherzugriffsschutz nicht mehr änderbar sei. Microsoft hatte mit dem Defender-Update KB5007651 eine neue Funktion "Hardware-gestützter Stapelschutz im Kernel-Modus" unter Windows 11 eingeführt.
Anzeige
Diese Option war beim Leser aber nicht vorhanden. Es stellte sich heraus, dass diese Funktion nur dann vom Defender bereitgestellt, wenn eine Intel CPU der 11. Generation (oder neuer) – bzw. ein entsprechendes Pendant von AMD – verbaut ist. Die CPU benötigt Intel CET oder AMD shadow stack support – die Kollegen von deskmodder.de haben das in einem Nachtrag bestätigt.
Ursprünglich hatte ich bei den Kollegen von deskmodder.de die Information gesehen und angenommen, dass die neue Funktion zu Firmware Attack Surface Reduction (FASR) gehöre. Lawrence Abrams, der Betreiber von Bleeping Computer hat in einer privaten Twitter-Diskussion mit mir aber darauf hingewiesen, dass das neue Feature wohl nichts mit FASR zu tun habe.
Yeah, I don't think this has to do with FASR. If I understand it correctly, FASR is to protect a devices firmware/Secure Boot. Hardware Stack Protection is more to protect against memory exploits, allowing threat actors to hijack address space and potentially execute code. It also requires the right hardware as the hardware has to support shadow stacks.
Lawrence fühlt sich ziemlich veralbert, was Microsoft da mit dem Defender veranstaltet und sieht ein großes Chaos. Aber es scheint doch, als ob FASR als neues Feature im Defender Einzug gehalten hat (siehe folgender Screenshot).
Neuer Bug im Defender?
Blog-Leser Tobias P. hat mich zum 24. April 2023 per Mail kontaktiert, weil er unter Windows 11 neue Meldungen zu sehen bekommt. In der Mail mit dem Betreff "Neuer Fehler zu MS Defender FASR" schrieb er:
Hallo Herr Born,
als eifriger Leser Ihres Blogs ist mir auch das aktuelle Thema zu Defender und den LSA Fehler unter Windows 11 nicht entgangen.
Aktuell begrüßt meine User im Unternehmen allerdings eine neue Meldung:
Im Betrag vom 19.4. konnte ich leider das gleiche Verhalten nicht entdecken. Haben Sie dazu auch andere Leser erreicht? Die Meldung an sich ist ja schon ähnlich die bei LSA widersprüchlich, da sie meldet, dass der Schutz aktiv ist, der Haken darunter ist jedoch auf AUS.
Von Seiten Microsoft ist wie immer nichts zu finden, wie dies global aktiviert werden kann sei es via Intune oder GPO.
Vielen Dank für Ihre Arbeit mit dem Blog und für die Zeit welche Sie sich immer dafür nehmen!
Hier ist bisher aus der Leserschaft noch keine diesbezügliche Meldung/Anfrage eingegangen. Die Frage in die Runde: Kann jemand das Verhalten bestätigen? Und gibt es eine Erklärung, warum der Schutz als aktiviert angezeigt, aber die Option als "Aus" gemeldet wird?
Ergänzung: Beachtet den Nachtragsartikel Windows 11: Defender LSA-Bug durch "Entfernen der Einstellungen" beseitigt, und weitere Defender/FASR-Kalamitäten …
Ähnliche Artikel:
Windows 11 22H2 Defender: "Gerätesicherheit: Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert"
Windows 11 22H2: Microsoft bestätigt Defender-Bug "Schutz durch die lokalen Sicherheit Autorität ist deaktiviert" in Gerätesicherheit
Windows 11: Defender-Update KB5007651 bringt FASR, korrigiert LAS-Bug, verursacht aber weiter Probleme
Windows 11: Defender LSA-Bug durch "Entfernen der Einstellungen" beseitigt, und weitere Defender/FASR-Kalamitäten …
Anzeige
Moin Zusammen,
Ich kann das bestätigen, das Problem tritt bei der Serie ab dem Intel 11.gen auf – exakt die gleiche Meldung wie oben beschrieben (im screenshot) die LSA protection Methode ist raus und kam dieses "neues" Feature welches aber ich glaube noch in Entwicklungsphase und dies nur die "beta" version ist. Eventuell mache ich ein Ticket bei MS auf und frage nach – ABER, Ich habe leider keine Lust auf die Fragen&Antworten von den Leihfirmen (aus Indien, Pakistan)die für MS arbeiten im Bereich Ticketsystem, denn die sind sehr unqualifiziert und wissen meistens nicht um was es geht….
Um welche Windows11-Version geht es, um allgemein oder nur für Betriebe/Firmen?
Bei mir ist der Eintrag "Hardware-gestützter Stapelschutz im Kernel-Modus" nicht vorhanden.
Ansonsten ist alles aktiviert.
Prozessor; Ryzen5 4500U, rund zwei Jahre alt.
Windows11 Pro 22H2 (Build 22621.1555)
is ja ryzend.
nennt sich amd shadow stack. Google is your friend. Ist ab Ryzen mobile 5000 supported.
Local Security Authority protection is off." with persistent restart
Das betrifft wiederum die Geräte Modelle, die nicht Intel 11. gen oder höher haben!! Bitte das nicht mit dem oben genanntes Problem verwechseln!
Ich besitze einen Lenovo X1 Gen9 mit 11th Gen Intel® Core™ i7-1165G7 @ 2.80GHz sowie Win11 22H2 22621.1635, also mit der letzten KB 5025305.
Ich erhalte zwar auch die Meldung: „Auf Ihrem Gerät ist der FASR-Schutz (Firmware Attack Surface Reduction) von Microsoft aktiviert."
Ich habe nur die Schaltfläche „Gehe zu den Einstellungen" oder das Ganze „Verwerfen".
Klicke ich auf „Gehe zu den Einstellungen" erhalte ich die Meldung: „Seite nicht verfügbar
Die Seite, auf die Sie zugreifen möchten, verfügt über keine unterstützten
Features und ist nicht verfügbar."
Hallo Herr Born und Community. :)
Ich habe vermutlich dasselbe Problem wie Thierry. Seit kurzem bekomme ich die Fehlermeldung "Auf Ihrem Gerät ist der FASR-Schutz (Firmware Attack Surface Reduction) von Microsoft aktiviert." Bei mir gibt es keinen Schieberegler, nur eine Schaltfläche "Gehe zu den Einstellungen". Klicke ich darauf, erhalte ich die Meldung "Die Seite, auf die Sie zugreifen möchten, verfügt über keine unterstützten Features und ist nicht verfügbar." Klicke ich auf "Verwerfen", wird das Komplette Sicherheitscenter leer – Also tatsächlich ein leeres Fenster, was von einem Neustart des Rechners behoben wird. Nach dem Neustart ist die Fehlermeldung unverändert wie beschrieben wieder da, verwerfen ist daher leider keine Option, um die Fehlermeldung zu eliminieren.
Zur Info: Der Rechner ist neu, erst vor wenigen Tagen zusammengebaut und aktiviert. Bis gestern lief er fehlerfrei ohne diese Meldung im Sicherheitscenter. Diese erschien mit einem Update am 25.04.2023.
CPU: Ryzen7 7800X3D
Mainboard Gigabyte X670E Aorus Master
Windows 11 Pro 22H2 Build 22621.1635
Gelegentlich wird auch mein TPM im Windows unter "Sicherheitschip" nicht erkannt, obwohl es im BIOS aktiv ist (AMD fTPM). Aber meist ist es sichtbar. Des Weiteren fehlt bei mir der Punkt "Kernisolierung". Aber ich weiß nicht, ob diese Dinge damit zusammenhängen oder völlig andere Baustellen sind. Sie seien nur zur Vollständigkeit erwähnt.
Falls jemand dasselbe Problem oder einen Lösungsansatz hat, würde ich mich über Input und Austausch freuen. :)
Die Kernisolierung muss zwingend im BIOS aktiviert sein damit überhaupt "eigentlich" das neues feature "Hardware-gestützter Stapelschutz im Kernel-Modus" (FASR) überhaupt sichtbar & aktiviert ist. im BIOS müsste das setting "Kernel DMA Protection" sein!
Ein super Hinweis, danke. :) Ich hab' den SVM-Mode im BIOS aktiviert, daraufhin erschien im Sicherheitscenter die Kernisolierung sowie zwei neue Schieberegler innerhalb der Kernisolierung: Die Speicherisolierung und der Stapelschutz. Beide Regler konnte ich trotz des oben genannten "Aktiv trotz Ausgeschaltet"-Problems aktivieren, auch wenn der zum Stapelschutz beim umschalten optisch leicht verbuggt war. Nach Neustart des Rechners waren sämtliche Fehlermeldungen im Sicherheitscenter verschwunden und der vermisste grüne Haken wieder da. Hoffentlich entdeckt auch Thierry und andere deinen Tipp.
Hallo Herr Born, anonym und Maik
Herzlichen Dank für den Hinweis. Ich habe im BIOS auch den Schalter "Kernel DMA Protection" auf ON gesetzt. Nun funktioniert es wie es sollte… sofern Microsoft richtig programmiert hat.
Mein auf https://skanthak.homepage.t-online.de/cpuid.html beschriebenes Kommandozeilen-Programm https://skanthak.homepage.t-online.de/download/CPUPRINT.EXE (32-bittig) bzw. https://skanthak.homepage.t-online.de/temp/CPUPRINT.EXE (64-bittig) gibt detailliert Auskunft über die vom jeweiligen Prozessor unterstützten Funktionen, beispielsweise CET_SSS für "Supervisor Shadow Stacks" oder CET_SS für "User-mode Shadow Stacks" und VIELES mehr.
Und weiterhin stürzt der SecurityHealthService mit schöner Regelmäßigkeit mindestens einmal am Tag ab, auch einige Teile der UI sind oft falsch oder werden gar nicht angezeigt. Die haben aber auch gar nichts mehr im Griff! -.-
Ich habe das Problem auch. Kann es auch nicht auf „an" stellen.. habe einen Dell G15 Gaming Laptop..
Firmware Attack Surface Reduction != Hardware Attack Surface Reduction
Hardware > Firmware. Wenn der auf Hardware basierende Schutz nicht aktiv ist wird der Firmware basierte als Fallback verwendet.
d.h. alles korrekt so. wüsste man aber auch wenn man den Microsoft Artikel dazu gelesen hätte(oder Firm- und Hardware unterscheiden könnte).🤦
Ich habe ein Acer Aspire 5 mit einem Intel i7 11th Gen. Auch ich habe genau diese Meldung mit FASR sei aktiviert, aber der Regler ist aus
Ich habe einen 12th Gen Intel(R) Core(TM) i3-12100 3.30 GHz und habe neuerdings auch diese seltsame Meldung. Es heisst dort: "auf Ihrem Gerät ist der FASR … Schutz von Microsoft aktiviert", aber der Schalter ist auf Aus gestellt und es gibt ein gelbes Warndreieck zu der Meldung.
Die Speicher-Integrität ist eingeschaltet und ich hatte auch schon den Fall, dass Treiber nicht akzeptiert wurden, obwohl sie von der Original Installations-CD meines Stift-Tablets kamen. Sie waren wohl zu alt, aber das Gerät funktioniert.
Leider sind die erklärenden Texte von MS so, dass man nur den Kopf schütteln kann.
Ich warte jetzt einfach ein paar Updates ab…