Image Courtesy: Microsoft
Sie sind nicht allein, wenn Sie „Kernel-mode Hardware-enforced Stack Protection is off. Ihr Gerät ist möglicherweise anfällig“, wenn Sie die Windows-Sicherheit in Windows 11 Version 22H2 oder 22H1 öffnen.
Nach dem neuesten Windows Defender-Update wird Windows 11 Benutzer melden, dass die Windows-Sicherheit einen neuen „Kernel-mode Hardware-enforced Stack Protection is off“ anzeigt. Ihr Gerät ist möglicherweise anfällig“ Warnung. Die Warnung verschwindet nicht, wenn Benutzer versuchen, die Funktion zu aktivieren, wahrscheinlich aufgrund von Problemen mit Treibern.
Für diejenigen, die es nicht wissen, ein kürzlich aufgetretener Fehler in Windows 11 warnte Benutzer fälschlicherweise vor dem Schutz durch die lokale Sicherheitsbehörde (LSA). wurde deaktiviert, obwohl es eingeschaltet war. Da der LSA-Schutz ein entscheidendes Sicherheitsfeature ist, das gegen den Diebstahl von Anmeldeinformationen schützt, hat dieser weit verbreitete falsche Fehler bei den Benutzern Besorgnis ausgelöst.
Neue Sicherheitsfunktion funktioniert nur mit kompatiblen Treibern
Das heutige Microsoft Defender-Update hat LSA-Problem gelöst. Dieses Update ersetzt die Schutzeinstellungen der lokalen Sicherheitsautorität (LSA) in der Windows-Sicherheit durch den durch Hardware erzwungenen Stapelschutz. Da die LSA-Warnung jetzt behoben ist, hat das Update eine neue Warnung in Bezug auf Hardware-Enforced Stack Protection eingeführt.
Wenn Ihr Gerät über inkompatible Treiber oder Apps verfügt, kann die neue Sicherheitsfunktion nicht aktiviert werden.
Im Gegensatz zur vorherigen LSA-Warnung scheint diese neue Warnung jedoch kein Fehlalarm zu sein. Der deaktivierte Hardware-Enforced Stack Protection scheint auf inkompatible Treiber oder Apps wie Anti-Cheat-Systeme zurückzuführen zu sein.
Diese Änderung wird als Teil eines obligatorischen Sicherheitsupdates eingeführt und automatisch installiert.
Wenn Sie auf „Kernel-mode Hardware-enforced Stack Protection is off. Ihr Gerät ist möglicherweise angreifbar“, verhindert wahrscheinlich ein Treiber oder eine App, dass die Funktion funktioniert.
Wir haben mehrere E-Mails und Kommentare von Benutzern erhalten, die das Durcheinander bestätigen. Benutzer haben berichtet, dass ihr hardwareerzwungener Stack-Schutz im Kernelmodus standardmäßig deaktiviert ist und Versuche, ihn zu aktivieren, erfolglos waren.
Das Problem scheint auf Treiberkompatibilitätsprobleme zurückzuführen zu sein, obwohl der spezifische Treiber das verursacht Konflikt bleibt unklar.
Einige haben das Problem mit Bitlocker in Verbindung gebracht, da Microsoft Defender Antivirus-Updates (KB5007651 und KB2267602) anscheinend einen Konflikt mit Bitlocker-Gegenmaßnahmen eingeführt haben.
Bitlocker-Gegenmaßnahmen, einschließlich Aktivieren Sie bei der Pre-Boot-Authentifizierung die Gruppenrichtlinie „Zusätzliche Authentifizierung beim Start erforderlich“, die auf einigen Systemen aktiv ist. Gemäß der Kernel DMA Protection-Unterstützung Dokument, ist diese Funktion mit anderen Gegenmaßnahmen für BitLocker-DMA-Angriffe nicht kompatibel.
Wenn Benutzer eine Meldung erhalten, dass der hardwareerzwungene Stack-Schutz aufgrund von Treiberinkompatibilitäten nicht aktiviert werden kann, klicken Sie auf „Inkompatible Treiber überprüfen ” führt zu keinen Ergebnissen.
Was verursacht, dass der durch Kernelmodus erzwungene Stack-Schutz im Kernelmodus deaktiviert ist?
Die kurze Antwort ist, dass die Windows-Sicherheits-App den inkompatiblen Treiber nicht gut erkennt , und es kann für Benutzer unmöglich sein, das Problem zu beheben.
Für diejenigen, die es nicht wissen, „Hardware-enforced Stack Protection“ ist eine neue Windows 11-Funktion, die es Apps oder Spielen ermöglicht, lokale CPU-Hardware zu nutzen, um ihre zu schützen Code. Es zielt darauf ab, den Speicherstapel zu schützen, der der Ort ist, an dem App-Codes während der Ausführung des Programms gespeichert werden.
Die Sicherheitsfunktion kann den Code schützen, indem sie den Speicherstapel durch moderne CPU-Hardware und Schattenstapel verwaltet (Ausführungsreihenfolge des Codes). Es handelt sich um eine hardwarebasierte Sicherheitsfunktion in neueren Prozessoren, die mit bestimmten Apps oder Treibern nicht funktioniert, z. B. veralteten Anti-Cheat-Systemen oder Tastatur-/Maustreibern.
Zum Beispiel werden Sie Sie können die Funktion nicht aktivieren, wenn Sie Riot Vanguard (vgk.sys), GameGuard oder ähnliche Apps haben. Um die Funktion zu aktivieren, müssen Sie sie deinstallieren.
Windows Latest geht davon aus, dass Microsoft nach einer besseren Möglichkeit sucht, inkompatible Treiber zu erkennen und zu kennzeichnen, damit Benutzer Änderungen vornehmen können.
Es ist erwähnenswert, dass die Warnung in der Windows-Sicherheits-App darauf hindeuten kann, dass Ihr Gerät „anfällig“ ist, aber nicht unbedingt bedeutet, dass Ihr Gerät angegriffen wird. Hoffentlich verbessert Microsoft die Warnungen der Windows-Sicherheits-App eher früher als später für alle.