Computer: Lenovo Ideapad S340-15API
Model: 81nc
Processor: AMD Ryzen 5 3500U with Radeon Vega Mobile Gfx 2.10 GHz
Installed RAM: 8,00 GB (5,94 GB usable)
System type: 64-bit operating system, x64-based processor
Edition: Windows 11 Home
Version: 22H2
Installed on: 2023-03-21
OS build: 22621.1635
Experience: Windows Feature Experience Pack 1000.22641.1000.0
2023 年 3 月 17 日,我的任务栏中出现了一个带有警告三角形的 Microsoft Defender 图标,提示我“本地安全机构保护已关闭。您的设备可能存在漏洞”。但是,打开它的选项是灰色的,所以如果我没记错的话,我相信我是通过 regedit 手动打开它的。
此后不久,即 2023-03-21,我使用 Microsoft 自己的媒体创建工具完全重新安装了 Windows。我当前的配置如上所示。
今天,出现了同样的问题,即带有警告三角形的 Microsoft Defender 图标,告诉我“本地安全机构保护已关闭。您的设备可能存在漏洞”。然后它提示我进入设备安全设置将其打开。但是,这次名为“本地安全机构保护”的实际功能甚至不存在于安全功能下,无论是在我的本地用户帐户还是我的管理员帐户中。
正如您在在暗黑模式下截取的屏幕截图,来自微软自己的帮助论坛,“当地安全机构保护”应该是第二个安全功能“记忆完整性”和“微软漏洞驱动程序阻止列表”,但它完全不见了,就像我自己在灯光模式下拍摄的截图。
当我尝试寻找“缺少本地安全机构保护选项”我没有得到任何与相同问题相关的结果,而是得到了有关相同警告的结果。我最终遵循了本指南介绍如何通过 regedit 打开该选项。
该指南说在值数据中输入“1”运行PPL,我照做了。但是,其他指南说它应该始终是“2”,所以我实际上不知道这里什么是正确的。
改变运行PPL变成“1”,重启后也没有恢复“当地安全机构保护”警告并没有消失。然而,当我按照另一个指南说还要创建运行方式PPLBoot并设置它们,即运行方式&运行方式PPLBoot改为“2”,然后重启,警告确实消失了。我仍然没有“当地安全机构保护”在我的设置中。
这就是为什么我求助于超级用户来看看是否有人知道为什么这个选项对我来说不存在。
答案1
您可以通过运行以下命令来解决此已知问题:
Get-AppPackage Microsoft.SecHealthUI
这会将 Windows Defender 更新为发布后不再存在此问题的版本。在发布更新之前,您可以通过查找以下 WinInit 事件来确认 LSA 保护仍处于启用状态,尽管通知另有说明:
12:LSASS.exe 作为受保护的进程启动,级别为:4
答案2
我遇到了同样的问题。
我确实通过 Ramhound 的回答验证了确实在12: LSASS.exe was started as a protected process with level: 4
运行。但警告仍然很烦人,设置本身的消失令人担忧。
不过,我确实偶然发现了下面的内容,可能有帮助,但我无法验证在哪里微软已经明确表示了这一点:
Microsoft 已暂时从 Windows 安全应用程序中删除了本地安全机构 UI,但该功能在 Windows 11 上受支持。因此,目前无法从 Windows 安全中禁用或启用本地安全机构保护。但是,您仍然可以从组策略或 Windows 注册表中执行此操作(如下所述)。
https://www.itechtics.com/fix-local-security-authority-protection-off/
答案3
这微软学习文章解释了 LSA 的更多细节(并提到了不同的值及其相应的功能)。请注意,我没有获得 SDL 认证,因此我不建议执行 regex 命令(坦白说,我甚至不太理解该功能)。
在我看来,已修复的错误(3 月)似乎以某种方式重新引入或由昨天更新(5 月)的另一个用例触发。这意味着,即使您拥有最新的更新,它也无法修复它。
运行 Ramhound 的命令行是安全的[来源],您也可以通过 Windows 更新中心或winget upgrade
运行时的附加证明Get-AppPackage | Where-Object {$_.Name -like "Microsoft.SecHealthUI"}
为我提供了版本 1000.25305.9000.0(在 Windows UI 中与“Windows 安全应用程序版本”匹配,并且是 5 月 5 日 23 日 晚上 7 点 GMT 的最新稳定版本)。
答案4
环境运行方式价值2并创造运行方式PPLBoot作为 DWORD 并设置值2在 regedit 中也帮我删除了错误,谢谢。不过我在安全中心仍然看不到这个选项。
如果有人想知道 regedit 中的位置,则是:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa