{"id":280232,"date":"2023-04-27T16:06:43","date_gmt":"2023-04-27T14:06:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280232"},"modified":"2023-05-12T11:54:12","modified_gmt":"2023-05-12T09:54:12","slug":"windows-11-lsa-bug-durch-entfernen-der-einstellungen-beseitigt-und-weitere-defender-fasr-kalamitten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/27\/windows-11-lsa-bug-durch-entfernen-der-einstellungen-beseitigt-und-weitere-defender-fasr-kalamitten\/","title":{"rendered":"Windows 11: Defender LSA-Bug durch "Entfernen der Einstellungen" beseitigt, und weitere Defender\/FASR-Kalamitäten …"},"content":{"rendered":"

\"Windows\"[English<\/a>]Unkonventionelle L\u00f6sung Microsofts f\u00fcr den sogenannten LSA-Bug, der durch ein Defender-Update in Windows 11 hervorgerufen wurde. Die Nutzer bekamen die Meldung \"Der Schutz durch die lokalen Sicherheitsautorit\u00e4t ist deaktiviert …\" zu sehen, konnten diese Funktion aber nicht mehr aktivieren. Nach mehreren \"Reparaturversuchen\" hat Microsoft jetzt eine \"L\u00f6sung\" f\u00fcr Windows 11 bekannt gegeben: Man hat die Option aus den Windows 11-Einstellungen entfernt. Zudem wurden neue Kernel-Schutz-Funktionen (z.B. FASR) eingef\u00fchrt, die aber f\u00fcr Kalamit\u00e4ten sorgen. Es sind verschiedene Voraussetzungen zu erf\u00fcllen, damit die neuen Funktionen auch aktiviert werden k\u00f6nnen. Ich fasse mal die Informationen in einem Sammelbeitrag zusammen.<\/p>\n

<\/p>\n

R\u00fcckblick auf das LSA-Problem<\/h2>\n

\"\"Benutzer von Windows 11 liefen im M\u00e4rz 2023 in Probleme, wenn das Update KB5007651<\/a> die Anti-Malware-Platform des Defender aktualisiert hatte. Nach dem Update wurde im Sicherheitscenter ein deaktivierter Schutz f\u00fcr die Ger\u00e4tesicherheit angezeigt. Das Ganze ging als LSA-Bug (Local Security Authority-Problem) in die Geschichte ein.<\/p>\n

\"Ger\u00e4tesicherheit:<\/p>\n

Zu diesem Local Security Authority-Fehler (LSA) hatte ich im M\u00e4rz 2023 im Blog-Beitrag Windows 11 22H2 Defender: \"Ger\u00e4tesicherheit: Der Schutz durch die lokale Sicherheitsautorit\u00e4t ist deaktiviert\"<\/a> was geschrieben. Microsoft hat das Problem sp\u00e4ter\u00a0 best\u00e4tigt (siehe meinen Artikel Windows 11 22H2: Microsoft best\u00e4tigt Defender-Bug \"Schutz durch die lokalen Sicherheit Autorit\u00e4t ist deaktiviert\" in Ger\u00e4tesicherheit<\/a>). Das Ganze wuchs sich dann zu einer unendlichen Geschichte aus. Im Blog-Beitrag Windows 11: Defender-Update KB5007651 bringt FASR, korrigiert LAS-Bug, verursacht aber weiter Probleme<\/a> hatte ich \u00fcber ein weiteres Update berichtet, welches angeblich diesen LSA-Fehler beseitigt hat – aber andere Probleme bereitete (siehe weiter unten).<\/p>\n

Microsoft meldet einen Fix<\/h2>\n

Beim St\u00f6bern in Microsofts Know-Issues-Bereich von Windows 11 war ich bereits auf den Eintrag Local Security Authority protection is off.\" with persistent restart<\/a> gesto\u00dfen – und in diesem Kommentar<\/a> weist ein Leser ebenfalls auf diesen Eintrag hin. Microsoft best\u00e4tigt erneut, dass nach der Installation des \"Update KB5007651<\/a> f\u00fcr Microsoft Defender Antivirus-Plattform – (Version 1.0.2302.21002)\" Nutzer m\u00f6glicherweise eine Sicherheitsmeldung oder eine Warnung erhalten, die besagt, dass \"der lokale Sicherheitsschutz deaktiviert ist. Ihr Ger\u00e4t ist m\u00f6glicherweise anf\u00e4llig\" (siehe obige Abbildugn). Diese Warnung geht auch nach einem Neustart nicht weg – was aber bekannt und best\u00e4tigt wird.<\/p>\n

Zum 25. April 2023 hat Microsoft dann aber im Eintrag bekannt gegeben, dass dieses Problem, welches Windows 11 Version 22H2 und 21H2 betrifft, durch ein Update KB5007651<\/a> f\u00fcr Microsoft Defender Antivirus-Plattform\u00a0 (Version 1.0.2303.27001) behoben sei. Dazu muss der Nutzer unter Windows 11 nach Updates suchen lassen. Klingt gut, die Kollegen von Bleeping Computer schreiben im Artikel Microsoft removes LSA Protection from Windows settings to fix bug<\/a>, dass Microsoft zu einer besonderen L\u00f6sung gegriffen habe. Die betreffende Anzeige wurde in der Windows-Einstellungen<\/em>-Seite bzw. in Windows-Sicherheit schlicht entfernt. Dadurch wird die Warnung nicht mehr angezeigt.<\/p>\n

Der LSA-Schutz ist wohl unter der Haube noch vorhanden. Administratoren sollten diesen LSA-Schutz weiterhin per Gruppenrichtlinien aktivieren oder deaktivieren k\u00f6nnen. Laut Bleeping Computer soll sich mit Hilfe der Windows-Ereignisanzeige \u00fcberpr\u00fcfen lassen, ob die Funktion aktiviert ist. Findet sich ein Wininit-Ereignis 12 in der Ereignis-Anzeige, das besagt, dass \"LSASS.exe als gesch\u00fctzter Prozess mit Stufe:4 gestartet wurde\", bedeutet dies, dass der Prozess isoliert und durch LSA-Schutz \u00fcberwacht wird.<\/p>\n

An dieser Stelle meine Frage an Betroffene (ich kann es aktuell nicht testen), ob im Zuverl\u00e4ssigkeitsverlauf, der Eintr\u00e4ge aus der Ereignisanzeige aufbereitet, der Hinweis dass \"Security Health Service exe\" nicht mehr funktionst\u00fcchtig ist, weiterhin auftritt?<\/p>\n

Kalamit\u00e4ten mit den Stapelschutz<\/h2>\n

Mit den Updates KB5007651<\/a> f\u00fcr Microsoft Defender Antivirus-Plattform hat Microsoft auch weitere Hardware-gest\u00fctzte Stapelschutz-Funktionen im Kernel-Moduls eingef\u00fchrt. Diese Erweiterungen wachsen sich aber zu einem H\u00fcrdenlauf bzw. einer unendlichen Geschichte aus.<\/p>\n

Problemb\u00e4r Speicher-Integrit\u00e4t<\/em><\/h3>\n

Ich hatte bereits im Blog-Beitrag Windows 11: Defender-Update KB5007651 bringt FASR, korrigiert LAS-Bug, verursacht aber weiter Probleme<\/a> \u00fcber ein weiteres Defender-Update berichtet. Dieses sollte unter der Kategorie Kernisolierung <\/em>eine neue Option Speicher-Integrit\u00e4t und Kernelisolierung<\/em> zeigen, die ein- oder ausschaltbar sein sollte.<\/p>\n

\"<\/p>\n

Die in obigem Screenshot gezeigte Funktion Speicher-Integrit\u00e4t<\/em> tauchte bei den Nutzern zwar auf, aber der Schalter zum Ein- \/Ausschalten ist nicht \u00fcberall vorhanden. Im verlinkten Blog-Beitrag finden sich weitere Screenshots von Betroffenen, die zeigen, dass der Schalter fehlt.<\/p>\n

Es stellte sich dann heraus, dass die Funktion samt der betreffenden Option nur dann zum Tragen kommt, wenn eine Intel CPU der 11. Generation (oder neuer) \u2013 bzw. ein entsprechendes Pendant von AMD \u2013 verbaut ist (die CPU ben\u00f6tigt Intel CET oder AMD shadow stack support).<\/p>\n

H\u00fcrden bei der FASR-Funktion<\/h3>\n

Microsoft experimentiert im Windows Defender mit einer weiteren Neuerung Namens FASR (Firmware Attack Surface Reduction). Ich hatte im Blog-Beitrag Windows 11: Defender-Update KB5007651 bringt FASR, korrigiert LAS-Bug, verursacht aber weiter Probleme<\/a> einige Hinweise zu dieser Funktion gegeben. Das Problem ist aber, dass auch die neue Funktion FASR nur auf neuen CPU-Generationen unter Windows 11 l\u00e4uft. Ein Leser hatte mich darauf hingewiesen, dass sein Windows 11 einen merkw\u00fcrdigen Zustand anzeige (siehe folgende Abbildung).<\/p>\n

\"Hardware-gest\u00fctzter<\/p>\n

Windows 11 meldet einerseits, dass der FASR-Schutz von Microsoft aktiviert worden sei und das Ger\u00e4t sch\u00fctzt. Aber die Option in der Einstellungen<\/em>-Seite steht permanent auf Aus. Ich hatte im Blog-Beitrag WIndows 11: Neuer Fehler im Defender; \"Hardware-gest\u00fctzter Stapelschutz im Kernel-Modus\" (FASR)<\/a> auf diesen Sachverhalt hingewiesen. Ein Benutzer wies per Kommentar<\/a> mit folgendem Text darauf hin, dass die Unterst\u00fctzung im BIOS aktiviert werden m\u00fcsse, damit das \u00fcberhaupt sichtbar werde:<\/p>\n

Die Kernisolierung muss zwingend im BIOS aktiviert sein, damit \u00fcberhaupt \"eigentlich\" das neues Feature \"Hardware-gest\u00fctzter Stapelschutz im Kernel-Modus\" (FASR) \u00fcberhaupt sichtbar & aktiviert ist. Im BIOS m\u00fcsste das Setting \"Kernel DMA Protection\" sein!<\/p><\/blockquote>\n

Ob es wirklich \"Kernel DMA Protection\" ist, bleibt offen, denn ein weiterer Benutzer schreibt <\/a>beispielsweise folgendes:<\/p>\n

Ich hab' den SVM-Mode im BIOS aktiviert, daraufhin erschien im Sicherheitscenter die Kernisolierung sowie zwei neue Schieberegler innerhalb der Kernisolierung: Die Speicherisolierung und der Stapelschutz. Beide Regler konnte ich trotz des oben genannten \"Aktiv trotz Ausgeschaltet\"-Problems aktivieren, auch wenn der zum Stapelschutz beim umschalten optisch leicht verbuggt war. Nach Neustart des Rechners waren s\u00e4mtliche Fehlermeldungen im Sicherheitscenter verschwunden und der vermisste gr\u00fcne Haken wieder da.<\/p><\/blockquote>\n

Wie die Funktion genau hei\u00dft, scheint vom BIOS abzuh\u00e4ngen (oder der oben zitierte Nutzer hat sich in der Bezeichnung der Option beim Verfassen des Kommentars geirrt).<\/p>\n

Das K\u00fcrzel SVM steht f\u00fcr Secure Virtual Machine <\/em>(siehe<\/a>). Kanthat weist in nachfolgenden Kommentaren darauf hin, dass das Feature \"Shadow Stacks\" (geh\u00f6rt zu \"Control-Flow Enforcement Technology\") im BIOS aktiviert sein muss.<\/p><\/blockquote>\n

Das scheint der entscheidende Punkt zu sein. Inzwischen gibt es die R\u00fcckmeldung mehrerer Benutzer mit entsprechenden Systemen, die nach Aktivierung der BIOS-Option (SVM-Mode) diese Funktion in Windows 11 im Defender nutzen konnten. Windows 11 und der Defender entwickeln sich immer mehr zur Wundert\u00fcte – wenn Du rein schaust, gibt es immer eine \u00dcberraschung. Keine der obigen Kalamit\u00e4ten wurde von Microsoft in den mir bekannten Supportseiten so dokumentiert.<\/p>\n

Tipp f\u00fcr Benutzer, die pr\u00fcfen m\u00f6chten, ob der Prozessor CET_SSS f\u00fcr \"Supervisor Shadow Stacks\" oder CET_SS f\u00fcr \"User-mode Shadow Stacks\" unterst\u00fctzt. Stefan Kanthak hat in diesem Kommentar<\/a> zwei kleine Tools verlinkt, die die CPU-Eigenschaften auflisten. Das auf seiner Webseite CPUID Enumerator and Decoder<\/a> beschriebenes Kommandozeilen-Programm CPUPRINT.EXE<\/a> (32-bittig) bzw. CPUPRINT.EXE<\/a> (64-bittig) gibt detailliert Auskunft \u00fcber die vom jeweiligen Prozessor unterst\u00fctzten Funktionen. Es sollte so was gemeldet werden:<\/p>\n

| CET_SS    (Control-Flow Enforcement Technology Shadow Stacks,\r\nIA32_INTERRUPT_SPP_TABLE_ADDR\/IA32_PL0_SSP\/IA32_PL1_SSP\/IA32_PL2_SSP\/IA32_PL3_SSP Model Specific Registers)\r\n| CET_IBT   (Control-Flow Enforcement Technology Indirect Branch Tracking, ENDBR32\/ENDBR64 Instructions)\r\n| CET_SSS   (Control-Flow Enforcement Technology Supervisor Shadow Stacks)\r\n  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n| CET_U     (Control-Flow Enforcement Technology User Mode Support)\r\n| CET_S     (Control-Flow Enforcement Technology Supervisor Mode Support)<\/pre>\n
Falls beim Seitenbesuch eine Defender-Warnung erscheint, dass eine Bedrohung erkannt und beseitigt wurde. Stefan Kanthak erlaubt sich den Spa\u00df, das Eicar-Testvirus als DATA-Item im Seitenheader in den Meta-Daten zu verlinken. Dann springt der Defender darauf an und versucht die vermeintliche Bedrohung zu entfernen.<\/p><\/blockquote>\n
\u00c4hnliche Artikel:<\/strong>
\nWindows 11 22H2 Defender: \"Ger\u00e4tesicherheit: Der Schutz durch die lokale Sicherheitsautorit\u00e4t ist deaktiviert\"<\/a>
\nWindows 11 22H2: Microsoft best\u00e4tigt Defender-Bug \"Schutz durch die lokalen Sicherheit Autorit\u00e4t ist deaktiviert\" in Ger\u00e4tesicherheit<\/a>
\nWindows 11: Defender-Update KB5007651 bringt FASR, korrigiert LAS-Bug, verursacht aber weiter Probleme<\/a>
\nWIndows 11: Neuer Fehler im Defender; \"Hardware-gest\u00fctzter Stapelschutz im Kernel-Modus\" (FASR)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Unkonventionelle L\u00f6sung Microsofts f\u00fcr den sogenannten LSA-Bug, der durch ein Defender-Update in Windows 11 hervorgerufen wurde. Die Nutzer bekamen die Meldung \"Der Schutz durch die lokalen Sicherheitsautorit\u00e4t ist deaktiviert …\" zu sehen, konnten diese Funktion aber nicht mehr aktivieren. Nach … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,161,301],"tags":[24,4313,8257],"class_list":["post-280232","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-virenschutz","category-windows","tag-problem","tag-virenschutz","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280232","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280232"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280232\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280232"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280232"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280232"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}