Windows 11: Defender-Update KB5007651 bringt FASR, korrigiert LAS-Bug, verursacht aber weiter Probleme

Windows[English]Microsoft hat zum 18. April 2023 das Defender Update KB5007651 für die Anti-Malware-Platform in der Version 1.0.2303.27001 für Windows 11 veröffentlicht. Das Update soll einen Local Security Authority-Bug (LSA) in Windows 11 beseitigen und bringt mit FASR (Firmware Attack Surface Reduction) einen "Hardware-gestützten Schutz". Ein Blog-Leser kontaktierte mich deswegen und berichtet, dass die Defender-Option Speicherzugriffsschutz nicht mehr änderbar sei. Zudem gibt es weiterhin die Meldung, dass "Security Health Service exe" nicht mehr funktionstüchtig ist. Wie sich herausgestellt, steht die neue FASR-Funktion unter Windows 11 nur auf neueren CPUs  (ab Intel 11 Gen. und AMD-Pendats) zur Verfügung.


Anzeige

Defender-Update KB5007651 mit LSA-Fix

Das Update KB5007651 aktualisiert die Anti-Malware-Platform des Defender in Windows 10 und Windows 11. Das Update machte im März 2023 bei Windows 11 Probleme, weil das Sicherheitscenter einen deaktivierten Schutz anzeigte. Zum 18. April 2023 hat es wohl ein Update auf die Version 1.0.2303.27001 gegeben, der das Problem (teilweise) korrigieren soll. Blog-Leser Guido B. hatte mich gestern Mittag diesbezüglich per Mail kontaktiert auf dieses Defender-Update zum 18. April 2023 hingewiesen, welches bei ihm weiterhin Probleme bereitet. Guido schrieb:

Ich erhielt heute, 18.04.2023 ein Update für Microsoft Defender Antivirus-Antischadsoftwareplattform-KB5007651 (Version 1.0.2303.27001)

Die Transparenz-Probleme mit den zwei unterschiedlichen Farben in der Ansicht im Defender sind jetzt gelöst worden. Doch zu meiner
Überraschung musste ich feststellen, dass der Schalter, hier, Schutz durch lokale Sicherheitsautorität fehlt!

Die Kollegen von deskmodder.de weisen in diesem Beitrag ebenfalls auf dieses Update hin und schreiben, dass damit der Defender-Bug "Schutz durch die lokalen Sicherheit Autorität ist deaktiviert" in Gerätesicherheit behoben sei. Zudem werde dadurch eine neue Option "Hardware-gestützter Stapelschutz" in den Defender-Optionen unter Windows 11 angezeigt.

Gerätesicherheit: Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert

Zu diesem Local Security Authority-Fehler (LSA) hatte ich im März 2023 im Blog-Beitrag Windows 11 22H2 Defender: "Gerätesicherheit: Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert" was geschrieben. Microsoft hat das Problem später  bestätigt (siehe meinen Artikel Windows 11 22H2: Microsoft bestätigt Defender-Bug "Schutz durch die lokalen Sicherheit Autorität ist deaktiviert" in Gerätesicherheit).


Anzeige

FASR wurde eingeführt

Laut deskmodder.de sei der LSA-Fehler durch das neue Feature FASR im Defender korrigiert worden. Das Kürzel FASR steht für Firmware Attack Surface Reduction, und von Microsoft gibt es diesen Support-Beitrag vom März 2023 dazu. Das Ganze läuft im Kontext des "Secured-core PC", der bestimmte Schutzmaßnahmen auf Hardware-Basis bereitstellen soll.

Für Altsysteme, die noch über keine hardwarebasierten D-RTM-Fähigkeiten verfügen, greift Microsoft auf Firmware Attack Surface Reduction (FASR) zurück. Kurz zusammengefasst stellt FASR eine Technik bereit, um Manipulationen am Boot-Pfad zu erkennen und zu verhindern.

  • Nur von Microsoft vertrauenswürdiger, signierter und integrierter Code darf ausgeführt werden.
  • Manipulationen am Boot.-Pfad können vom Betriebssystem erkannt werden.

Der verlinkte Support-Beitrag enthält dazu weitere Details. Der von den Kollegen bei deskmodder.de gepostete Screenshot von Windows Sicherheit zeigt, dass unter der Kategorie Kernisolierung nun ein Eintrag "Hardware-gestützter Stapelschutz im Kernel-Modus" angezeigt wird (siehe folgender Screenshot).

 "Hardware-gestützter Stapelschutz im Kernel-Modus"

Ich habe mal nachgesehen, Microsoft hat das Problem auf der Windows 11 22H2 Health-Statusseite in den Known Issues  im Beitrag  "Local Security Authority protection is off." with persistent restart bisher nicht als behoben bestätigt. Betroffen sind beide Windows 11-Versionen (21H2 und 22H2), nicht aber Windows Server 2022.

FASR erfordert neue CPUs

Das neue FASR-Feature hat aber den Pferdefuß, dass es nur dann zum Tragen kommt, wenn eine Intel CPU der 11. Generation (oder neuer) – bzw. ein entsprechendes Pendant von AMD – verbaut ist (die CPU benötigt Intel CET oder AMD shadow stack support). Die Kollegen von deskmodder.de haben das in einem Nachtrag bestätigt. Blog-Leser Guido hatte in seiner initialen Mail bereits darauf hingewiesen, dass das  Defender-Update KB5007651 zwar etwas korrigiert, bei ihm aber neue Probleme bringe. Zu seiner Überraschung musste er feststellen, dass der Schalter für die Option Speicherzugriffsschutz fehlt. Er schrieb dazu:

Es erscheint in der Anzeige lediglich "Speicherzugriffsschutz" – der Schalter jedoch fehlt! Wieder ein Darstellungsfehler?

Öffne ich den Defender so ist zu im Zuverlässigkeitsverlauf zu lesen, dass "Security Health Service exe" nicht mehr funktionstüchtig ist!

Die Probleme bestehen leider weiterhin…

Nachfolgende Screenshots zeigen die Seiten für Speicher-Integrität und Kernelisolierung, bei denen der Schalter zur Aktivierung der Option Speicherzugriffsschutz fehlt.

Windows 11 Sicherheit: Schalter Speicherzugriffsschutz fehlt

Windows 11 Sicherheit: Schalter Speicherzugriffsschutz fehlt

Auch das Problem, dass in der Ereignisanzeige die Meldung, dass der "Security Health Service exe" nicht mehr funktionstüchtig ist, erscheint weiterhin – beim Blog-Leser ist das LSA-Problem also nicht behoben. In einem Nachtrag bestätigt Guido dann die Feststellungen der Kollegen von deskmodder.de und schrieb:

Ich hatte, kurz nachdem ich Ihnen gestern eine Mail geschickt hatte gesehen, dass Deskmodder einen Artikel zum Defender Update publiziert hatten.

Den "Hardware-gestützter Stapelschutz im Kernel-Modus" habe ich nicht. Laut Reddit wäre wohl z.B. mindestens ein Intel Chip der 11th Generation erforderlich.

Diese Ergänzung bezieht sich auf diesen reddit.com-Thread mit dem Titel Windows Security App Update?, wo das Thema auch diskutiert wird. Guido schreibt dazu, dass bei ihm kein Darstellungsfehler vorliegt und der Schalter auch nicht fehlt. Es gibt die Funktion bei ihm schlicht nicht, da in seinem Notebook ein Intel i5 Prozessor der zehnten Generation verbaut ist. Dann zeigt Windows 11 diese Option Hardware-gestützter Stapelschutz im Kernel-Modus in Windows-Sicherheit nicht an.

Was unschön bleibt, ist der Absturz des Prozesses SecurityHealthService.exe, was im Zuverlässigkeitsverlauf zu sehen ist. Es läuft darauf hinaus, dass die Baustelle Windows 11 für Plattformen, die nicht 100 % kompatibel sind, immer mehr Probleme und Abweichungen zeigt. Danke an Guido für die Hinweise.

Ergänzung: Im Nachgang habe ich gesehen, dass es diesen Artikel bei heise zum Thema gibt. Auch Bleeping Computer hat das Thema nun in diesem Artikel aufgegriffen und beschreibt die Konfusion, die Microsoft mit seinem Update verursacht hat. Unklar ist aber, ob FASR eingeführt wurde – in einer Diskussion mit Lawrence Abrams von Bleeping Computer kamen jedenfalls Zweifel auf.

Ergänzung 2: Beachtet den Nachtragsartikel Windows 11: Defender LSA-Bug durch "Entfernen der Einstellungen" beseitigt, und weitere Defender/FASR-Kalamitäten …

Ähnliche Artikel:
Windows 11 22H2 Defender: "Gerätesicherheit: Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert"
Windows 11 22H2: Microsoft bestätigt Defender-Bug "Schutz durch die lokalen Sicherheit Autorität ist deaktiviert" in Gerätesicherheit
Upgrade-Block auf Windows 10 2004 für Geräte mit Kernisolierung (HVCI)
Fix: Windows 10-Treiber durch Kernisolierung blockiert
Microsoft bestätigt: Windows patzt bei der Erkennung gefährlicher Treiber – Blocklisten nicht verteilt
"Smart App Control" & Co.: Sicherheitsfeatures für Windows 11
Windows 11: Defender LSA-Bug durch "Entfernen der Einstellungen" beseitigt, und weitere Defender/FASR-Kalamitäten …


Anzeige

Dieser Beitrag wurde unter Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Windows 11: Defender-Update KB5007651 bringt FASR, korrigiert LAS-Bug, verursacht aber weiter Probleme

  1. schwimma sagt:

    bei mir sieht es leider auch so aus, aber ich habe einen i7 1260p

    passt also auch nicht zusammen

    securityhealth ist auch heute 2* gestorben…

    ach ja, den neuen Modus sehe ich ntürlich auch nicht

  2. Districtor sagt:

    Teilweise taucht die neue Funktion auch bei unterstützten Systemen gar nicht auf:

    No option for Kernel-mode Hardware-enforced Stack Protection in Core Isolation

    • Stefan sagt:

      Vorsicht, es gibt zwei Varianten von der 11ten Intel Generation.
      Das wird in Deinem Link auch genannt:
      "CET (Control-flow Enforcement Technology) was only introduced in the 11th gen Tiger Lake processors, and was not available in the 11th gen Rocket Lake processors."

      Daher schrieb ich bei Deskmodder auch extra, "Intel CET or AMD shadow stack support", welches hier leider nicht mit kopiert wurde.

  3. Andy (007 aus Wien) sagt:

    "Das neue FASR-Feature hat aber den Pferdefuß, dass es nur dann zum Tragen kommt, wenn eine Intel CPU der 11. Generation (oder neuer) – bzw. ein entsprechendes Pendant von AMD – verbaut ist." …

    "Dann zeigt Windows 11 diese Option Hardware-gestützter Stapelschutz im Kernel-Modus in Windows-Sicherheit nicht an."

    Ich habe meinen Rechner nochmals auf Windows 11-Tauglichkeit geprüft. Das Microsoft-Tool hat mir bestätigt, dass mein Rechner mit einem Prozessor der 10. Generation Windows 11-tauglich ist.

    Obwohl mein Rechner der 10. Prozessorgeneration Windows 11-tauglich ist, werden bestimmte Sicherheitsfeatures nicht unterstützt. Hat Microsoft seine Softwareentwicklung noch ausreichend im Griff?

  4. MicrosoftVerbockts sagt:

    Die haben doch komplett die Kontrolle und die Übersicht über ihre ganzen Produkte verloren!

    • Fachkraft IT sagt:

      Die Kunden/Nutzer haben die Kontrolle verloren. Schon länger. Trotz vielfacher Warnungen. Und sie reden es sich weiter schön.

      Unsere Wirtschaft, Verwaltung, Gesellschaft ist inzwischen fast komplett abhängig davon, dass irgendwelche Microsoft Server und Dienste erreichbar sind. Und unsere Politiker dadurch auch, sind praktisch komplett erpressbar.

      Die Digitalisierung zeigt ihre dunkle Seite, einige haben das längst erkannt, viele müssen das noch lernen. Die Abhängigkeiten werden noch viel tiefer gehen und für unermessliche Dinge genutzt werden. Und natürlich keiner konnte es dann ahnen, lol.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.