Windows 11 - La protection de l’autorité de sécurité locale (LSA) est désactivée. Votre appareil peut être vulnérable

[Parisien_entraide]

Edit : Makelal a eu la meme idée :-)
Sujet donc en doublon


Article du site https://www.malekal.com/protection-auto ... t-activer/

Rappel : L'autorité de sécurité locale, ou LSA, authentifie, consigne et conserve toutes les informations relatives à la sécurité locale d'un système. Le bogue affecte toutes les plates-formes Windows 11, c'est-à-dire les versions 22H2 et 21H2 de Windows 11.


_______

Sources croisées (Microsoft ne reconnait à ce jour rien du tout)
Néanmoins https://answers.microsoft.com/en-us/win ... 99f1b80ee8

https://learn.microsoft.com/en-us/windo ... rotection.

https://insider.windows.com/en-us/feedbackhub
https://www.borncity.com/blog/2023/03/1 ... ent-144598
https://www.reddit.com/r/Windows11/comm ... roken_and/
https://www.elevenforum.com/t/enable-or ... ost-274550



Un Bug est apparu avec la dernière KB5007651, de mars 2023 sous Windows 11 22H2

Dans les messages d'avertissement, il apparait une alerte de sécurité.qui affecte Windows Defender

"La protection de l’autorité de sécurité locale est désactivée. Votre appareil peut être vulnérable"

Cette protection est pourtant activée chez moi (et chez tout le monde également si cela l'était auparavant)



A QUOI SERT CETTE FONCTION ?



La protection de l'autorité de sécurité locale dans Windows 11, est une fonctionnalité supplémentaire d'isolation du noyau.
Selon Microsoft , vous pouvez activer et utiliser le processus de l'autorité de sécurité locale (LSA) pour empêcher l'injection de code et qui réduit la possibilité de compromettre les informations d'identification.
Elle œuvre à vérifier les connexions Windows et nécessite que le système d’exploitation fonctionne normalement.


Le bug apparait, et ce que votre PC soit pleinement compatible ou pas

Exemple sur un de mes PC (celui ci n'a que l'OS d'installé, et aucune bidouille via divers programmes)

Ce PC est pleinement compatible

0.png

Néanmoins on note que la protection LSA apparait comme désactivée"

2023-03-20_132329.jpg

OU RETROUVER LA FONCTION ?

Il faut aller dans les paramètres (Bienvenue dans le monde des poupées russes si vous le faites manuellement sans passer par l'outil de recherches :-)

----> Confidentialité et sécurité -----> Sécurité Windows ----> Protection contre les virus et menaces ---> Sécurité des appareils ----> Isolation du noyau---> Protection de Securité Locale

A.png

B.png

C.png

E.png

2023-03-20_132329.jpg

COMMENT MODIFIER ?


Avant d'effectuer des modificationst je conseille un point de restauration
Modifier le registre, si on se trompe peut amener dans certains cas à une réinstallation de Windows


1) Ouvrez l’Éditeur du Registre Windows avec Regedit
https://www.malekal.com/regedit-editeur ... e-windows/

2) Accédez à l’emplacement suivant :

Code : Tout sélectionner

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3) Assurez-vous que les entrées
RunAsPPL
et
RunAsPPLBoot

sont présentes.

Si ce n’est pas le cas il faut les créer via les valeurs DWORD
Clic droit de la souris dans la fenêtre de droite à l'emplacement prévu

2023-03-20_141625.jpg

Sur mon PC de test, une seule entrée n'était présente. Il m'a juste fallu créer la deuxième

Ensuite associez à ces deux entrées la valeur 2.

Regisdtre.png

Après modifications il faut redémarrer le PC


Solution alternative, si vous n'avez pas désactivé PowerShell pour des raisons de sécurité
Bloquer Mshta.exe et/ou PowerShell.exe
https://www.malekal.com/proteger-son-pc ... s-windows/

Code : Tout sélectionner

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 2 /f
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPLBoot /t REG_DWORD /d 2 /f;

APRES MODIFICATIONS LE MESSAGE D ERREUR N'APPARAIT PLUS

G FINAL.png

[Parisien_entraide]

Vu sur un autre forum mais cela concerne peut etre certains PC pas entièrement compatibles

La "Page non disponible"
Cela se résous tout seul au fil du temps... A conditions de ne pas avoir viré complètement la télémétrie et de ne pas tout bloquer via des programmes tiers (O&Oshutup, WPD etc)

page non disponible.jpg

A cela on y ajoute aussi le message qui est apparu en filigrane au coin inférieur droit du bureau depuis quelques jours :

" Configuration requise non satisfaite. Accédez à Paramètres pour en savoir plus"

sur les PC qui ne répondent pas à la configuration système minimale requise pour Windows 11...
Il y a une méthode pour s'en débarrasser, mais de toutes les façons je pense qu'il s'agit pour l'instant d'un avertissement jusqu'au jour ou certaines fonctionnalités liés surtout à la sécurité ne seront pas accessibles ou plus;..

[Parisien_entraide]

Après environ une dizaine de jours (les premiers reports datent du 12 et 13 mars) Microsoft reconnait enfin le problème

https://learn.microsoft.com/en-us/windo ... nt-restart

Le point important qui est souligné dans ce lien

Important : Actuellement, nous ne recommandons aucune autre solution de contournement pour ce problème.

Donc il reste à savoir quel est l'impact de la manip connue en modifiant la base de registre sur une future mise à jour et si il va falloir s'y replonger dès lors que le patch apparaitra

[Parisien_entraide]

Microsoft a "discrètement"' résolu le problème avec une mise à jour Defender récente (KB5007651).

Donc Windows Security Service version 1.0.2303.27001 a théoriquement résolu le problème par une mise à jour de la fonctionnalité de sécurité "Kernel-mode Hardware-enforced Stack Protection" présente sous Core Isolation (VBS)

Avant on avait " Protection par l'autorité de sécurité locale" maintenant on a "Protection de pile assistée par matériel en mode noyau""

ioaltion noyau3.png

Est ce vraiment résolu ? Difficile à savoir car sur le site de Microsoft ce n'est pas encore indiqué
https://learn.microsoft.com/en-us/windo ... nt-restart


Pour rappel
Pour utiliser la fonction de protection de la pile renforcée par le matériel en mode noyau, la technologie CET (Control-flow Enforcement Technology) d'Intel ou la technologie AMD Shadow Stack est requise. Les puces prises en charge incluent Intel 11e génération Tiger Lake ou des pièces plus récentes, ou AMD Zen 3 et plus récentes.

A noter : Perso j 'avais effectué pour tests la correction via la base de registre, cela n'a pas eu d'impact négatif lors de la mise à jour corrective

[Parisien_entraide]

Ce coup ci Microsoft confirme la correction du problème

Rappel :
Microsoft avait proposé une nouvelle mise à jour "Windows Security Service version 1.0.2303.27001" sous la dénomination KB5007651.
La mise à jour a apparemment corrigé la protection LSA et aujourd'hui, elle a été confirmée par Microsoft

Sur le tableau de bord le problème est indiqué comme "résolu" (section mars 2023)

https://learn.microsoft.com/en-us/windo ... nt-restart

2023-04-26_114020.jpg

[ihana]

Bonjour, donc cette désactivation n'est pas du fait de l'utilisateur mais bien de Microsoft ?!! parce là ça fait presqu'un mois que je cherche en vain une solution en pensant que la sécurité windows n'est pas complétement opérationnelle ! Merci Microsoft !!

[Parisien_entraide]

Il suffit de lire les sujets du forum :-)

[ihana]

Capture d’écran 2023-04-27 153659.jpg

Oaip encore faut-il que les sujets correspondent au problème. Perso j'ai suivi la procédure et cela n'a rien donné pour mon PC

Capture d’écran 2023-04-29 124937.jpg

[ihana]

Capture d’écran 2023-04-29 133100.jpg

j'ai rajouté une clé dans le registre et voilà ... rien de nouveau

[Parisien_entraide]

Comme il est dit, le problèmes est considéré comme résolu pour les PC pleinement compatibles Windows 11 22H2, et surtout sur les installations fraiches (perso testé sur 2 PC avec succès avec même quelques tweaks, mais tous les 2 sans démarrage rapide)

Ensuite pour certains ce n'est qu'un bug visuel, (la fonction est en place) pour d'autres c'est en lien en partie avec les paramètres UEFI

Par ex via les paramètres BIOS/UEFI, pour certains il faut accéder au démarrage sécurisé, s'assurer qu'il est activé, changer en "personnalisé", puis revenir sur le "sécurisé" et lors de l'enregistrement, et c'est là que c'est paradoxal, il faut dire "NON" avant de redémarrer pour ne rien enregistrer, et en plus refaire la manip du registre à l'issue, tout comme pour d'autres il faut jouer sur le bouton ON/OFF
https://www.elevenforum.com/t/enable-or ... -11.11104/

Du reste concernant les paramètres UEFI, j'ai noté et je ne suis pas le seul, des modifs qui parfois changent, alors que je n'ai touché à rien
Windows donc, interfère

Microsoft considère cela comme "résolu" mais rien ne dit qu'il n'y aura pas d'autres mises à jour (comme le bug lié aux imprimantes qui est en place depuis des années, qui est fait l objet d'un nouveau patch régulièrement et qui réapparait)

[Parisien_entraide]

Source : https://www.bleepingcomputer.com/news/m ... o-fix-bug/


(...)
La protection LSA est toujours prise en charge, bien que l'interface utilisateur ait été supprimée des paramètres, et les utilisateurs peuvent toujours activer/désactiver manuellement la fonction de sécurité à l'aide des politiques de registre ou de groupe/MDM.

Cependant, sans l'interface utilisateur, il n'y a plus moyen de vérifier à partir des paramètres Windows si la protection LSA est activée.

Malgré cela, les utilisateurs peuvent toujours vérifier si la fonctionnalité est activée à l'aide de l'Observateur d'événements Windows.

Si vous trouvez un événement Wininit 12 indiquant que "LSASS.exe a été démarré en tant que processus protégé avec le niveau : 4", cela signifie que le processus est isolé et protégé par la protection LSA.

2023-04-30_164907.jpg

[Parisien_entraide]

Allez hop c'est reparti pour un tour

Avec la KB5007651 du 04/05/2023, on peut s'apercevoir qu'il y a un point d'exclamation avec l'isolation du noyau
Vu que rien d'autre n'a changé on peut se demander si c'est cosmétique ou pas

Isolation noyau1.png

Isolation noyau2.png

En attente de vérif de mon côté...

[ihana]

Et re et re et re !!
Je précise que j'ai fait plusieurs reset et au moins 2 arrêts de mon PC

Capture d’écran 2023-05-06 095159.jpg

Capture d’écran 2023-05-06 095246.jpg

[Parisien_entraide]

Oui bah.. La solution viendra avec un patch :-) Encore faut il savoir QUAND et si TOUT sera résolu

On voit par ex avec les patches réguliers liés à l'impression.. Cela fait plusieurs années que Microsoft sort de temps à autre le patch Miracle censé résoudre tous les problèmes, et au final il y en a toujours

Le soucis c'est que Windows, c'est du plâtrage en permanence et rien n'est nettoyé (d'où la taille de l'OS du reste)
Pire, mais c'est une manière commune de travailler depuis plusieurs années, (on le voit avec les gros éditeurs de jeux), une équipe travaille sur une fonctionnalité, une autre à côté travaille sur une autre fonctionnalité et.. il n'y a pas de communications entre les équipes

Pire, une fois le travail accompli, on met tout le monde dehors et les sources sont perdues ou partiellement perdues
Si il y a besoin de reprendre le boulot derrière, plus personne n'y comprend rien, et on plâtre en espérant que...

C'était la façon de bosser il y a 10 ans, et je doute qu'il en soit autrement maintenant (j'avais une connaissance qui avait bossé chez Microsoft US)
A cela on y ajoute que ce sont les utilisateurs qui font office de beta testeurs et pas que dans le canal DEV, puisque ceux qui y sont inscrits se plaignent que tout les problèmes relevés sont très rarement pris en compte

Bref Wait and see

[ihana]

exact ! c'est la même réflexion que je me suis faite. Mieux "wait and see" que bricolage et plantage ! Les commentaires des helpers sont bien enregistrés mais jamais étudiés... C'est l'IA qui a repris le job !
Merci Malekal d'être encore là pour nous éclairer la lanterne embrumée