Microsoft telah menarik pembaruan Pertahanan Microsoft baru-baru ini yang seharusnya memperbaiki masalah umum yang memicu peringatan mulai ulang terus-menerus dan peringatan Keamanan Windows bahwa Perlindungan Otoritas Keamanan Lokal (LSA) tidak aktif.
Perlindungan LSA membantu melindungi pengguna Windows dari upaya pencurian kredensial dengan menggagalkan dumping memori proses LSASS dan injeksi kode yang tidak tepercaya ke dalam proses LSASS.exe, yang memungkinkan ekstraksi informasi sensitif.
Microsoft diakui masalah pada 21 Maret, setelah laporan pengguna yang tersebar luas mengenai peringatan sistem Windows 11 bahwa perlindungan LSA tidak aktif. Namun, itu ditampilkan di antarmuka pengguna pengaturan sebagai sedang diaktifkan.
Redmond mengatakan peringatan restart terus-menerus yang dipicu oleh masalah yang diketahui ini hanya akan muncul pada sistem Windows 11 21H2 dan 22H2.
Pembaruan Pertahanan Microsoft berikutnya dikeluarkan beberapa minggu kemudian mengganti pengaturan antarmuka pengguna fitur Perlindungan LSA dengan fitur baru bernama Perlindungan Stack yang didukung perangkat keras mode kernel. Sayangnya, Microsoft belum mendokumentasikan perubahan ini, yang menyebabkan kebingungan pengguna.
“LSA Protection belum dihapus – masih built in dan on secara default di mesin Windows 11. Di Windows Insider Preview terbaru, ada update yang mengubah tampilan user interface (UI) untuk fitur ini,” Microsoft memberi tahu BleepingComputer, secara keliru mengatakan itu hanya di Windows 11 Insider build padahal sudah tersedia di Windows 11 22H2.
Satu minggu kemudian, pada tanggal 26 April, Redmond mengumumkan mereka memperbaiki masalah UI Perlindungan LSANamun, ini hanya dilakukan dengan menghapus pengaturan di pembaruan Defender KB5007651 untuk memastikan bahwa peringatan yang membingungkan tidak lagi ditampilkan di aplikasi Pengaturan Windows.
Pembaruan bek menyebabkan layar biru dan reboot acak
Hari ini, Redmond mengungkapkan bahwa mereka memutuskan untuk berhenti mendorong pembaruan Defender KB5007651 karena layar biru atau sistem tiba-tiba restart saat bermain game yang memengaruhi sistem Windows 11 tempat pembaruan Defender diterapkan.
“Masalah umum ini sebelumnya diselesaikan dengan pembaruan untuk platform antimalware Microsoft Defender Antivirus KB5007651 (Versi 1.0.2303.27001) tetapi masalah ditemukan, dan pembaruan itu tidak lagi ditawarkan ke perangkat,” Microsoft dikatakan.
“Jika Anda telah menginstal Versi 1.0.2303.27001 dan menerima kesalahan dengan layar biru, atau jika perangkat Anda memulai ulang saat mencoba membuka beberapa game atau aplikasi, Anda harus menonaktifkan Perlindungan Stack yang didukung Perangkat Keras mode Kernel.”
Untuk menonaktifkan HSP mode Kernel, Anda harus membuka Device Security > Core Isolation di aplikasi Windows Security dan mengaktifkan fitur “Kernel-mode Hardware-enforced Stack Protection”.
Namun, Microsoft tidak memberikan informasi apa pun tentang apa yang harus dilakukan oleh pengguna yang terpengaruh yang telah menginstal KB5007651 untuk mengatasi restart sistem dan layar biru yang disebabkan oleh pembaruan Defender buggy ini selain untuk menonaktifkan fitur Stack Protection yang didukung perangkat keras mode Kernel.
Beberapa driver anti-cheat game yang berkonflik yang menyebabkan Windows crash atau konflik saat Kernel-mode HSP diaktifkan termasuk PUBG, Berani (Pelopor Kerusuhan), Perburuan darah, Takdir 2, Dampak Genshin, Bintang Fantasi Online 2 (Penjaga Game), dan Dayz.
Solusi tersedia hingga perbaikan dirilis
Microsoft mengatakan sedang mengerjakan perbaikan lain untuk peringatan Perlindungan LSA tanpa henti yang memengaruhi sistem Windows 11 dan akan memberikan detail lebih lanjut sesegera mungkin.
Redmond juga membagikan solusi untuk pelanggan yang belum menginstal KB5007651 dan masih melihat peringatan restart, meminta mereka untuk mengabaikan notifikasi reboot.
“Jika Anda telah mengaktifkan perlindungan Otoritas Keamanan Lokal (LSA) dan telah memulai ulang perangkat Anda setidaknya sekali, Anda dapat mengabaikan pemberitahuan peringatan dan mengabaikan pemberitahuan tambahan yang meminta untuk memulai ulang,” kata perusahaan itu.
Anda dapat memeriksa apakah fitur tersebut diaktifkan di komputer Anda menggunakan Windows Event Viewer dengan mencari kejadian Wininit yang menyatakan bahwa “LSASS.exe dimulai sebagai proses yang dilindungi dengan level:4”, yang menunjukkan bahwa proses tersebut diisolasi dan dilindungi oleh LSA Perlindungan.
Sedangkan BleepingComputer telah sebelumnya dilaporkan bahwa peringatan ini dapat dicegah dengan menambahkan dua entri registri, Microsoft “tidak merekomendasikan solusi lain untuk masalah ini.”
Dua bulan lalu, Microsoft mengumumkan hal itu Perlindungan LSA akan diaktifkan secara default untuk Windows 11 Insider di saluran Canary jika sistem mereka lulus pemeriksaan audit ketidakcocokan.
Kekacauan yang membingungkan
Microsoft terus bingung membahas Perlindungan Stack yang didukung perangkat keras mode Kernel dalam langkah pemecahan masalah terkait Perlindungan LSA.
Di masa lalu, Microsoft secara khusus memberi tahu BleepingComputer bahwa kedua fitur tersebut tidak terkait, namun mereka terus menggabungkan kedua fitur tersebut dalam buletin dukungan.
“LSA dan perlindungan tumpukan yang didukung perangkat keras mode Kernel adalah pengaturan terpisah. Dalam versi Windows Insider Preview terbaru, pengaturan HSP mode kernel ditambahkan. Ini bukan pengganti untuk perlindungan LSA,” kata Microsoft kepada BleepingComputer.
Namun, bahkan informasi ini tidak benar, karena Kernel-mode HSP sudah dalam versi produksi dan bukan hanya pratinjau Windows Insider, menyebabkan lebih banyak kebingungan.
Microsoft masih belum merilis dokumentasi resmi apa pun tentang Perlindungan Stack yang didukung perangkat keras mode Kernel, meskipun sudah tersedia di Windows 11 selama hampir sebulan.
