发现Windows11内核模式硬件强制堆栈保护已关闭错误

 　　如果您遇到“内核模式硬件强制堆栈保护已关闭”的情况，您并不孤单。当您在 Windows 11 版本 22H2 或 22H1 中打开 Windows 安全中心时，您的设备可能易受攻击”警告。

　　在最新的 Windows Defender 更新后，Windows 11用户 报告说 Windows 安全显示了一个新的“内核模式硬件强制堆栈保护已关闭。您的设备可能容易受到攻击”警告。当用户尝试启用该功能时，警告不会消失，这可能是由于驱动程序问题。

　　对于那些不知道的人，Windows 11 中最近的一个错误错误地警告用户本地安全机构 (LSA) 保护已被禁用，即使它已打开。由于 LSA 保护是一项重要的安全功能，可以防止登录凭据被盗，因此这种广泛存在的错误引起了用户的关注。

　　新的安全功能仅适用于兼容的驱动程序

　　今天的 Microsoft Defender 更新已经解决了 LSA 问题。此更新将 Windows 安全中的本地安全机构 (LSA) 保护设置替换为硬件强制堆栈保护。随着 LSA 警告现已解决，更新引入了与硬件强制堆栈保护相关的新警告。

　　如果您的设备有不兼容的驱动程序或应用程序，则无法打开新的安全功能

　　然而，与之前的 LSA 警告不同，这个新警告似乎并不是误报。禁用的硬件强制堆栈保护似乎是由不兼容的驱动程序或应用程序引起的，例如反作弊系统。

　　此更改作为强制性安全更新的一部分推出并自动安装。

　　如果您遇到“内核模式硬件强制堆栈保护已关闭。您的设备可能易受攻击”警告，驱动程序或应用程序可能会阻止该功能工作。

　　我们收到了几封来自用户的电子邮件和评论，证实了这一混乱局面。用户报告他们的内核模式硬件强制堆栈保护在默认情况下是禁用的，并且尝试启用它没有成功。

　　该问题似乎源于驱动程序兼容性问题，尽管导致冲突的具体驱动程序仍不清楚。

　　一些人将该问题与 Bitlocker 联系起来，因为 Microsoft Defender 防病毒更新(KB5007651 和 KB2267602)似乎引入了与 Bitlocker Countermeasures 的冲突。

　　Bitlocker Countermeasures(包括预启动身份验证)启用组策略“启动时需要额外的身份验证”，这在某些系统上处于活动状态。根据内核 DMA 保护支持文档，此功能与其他 BitLocker DMA 攻击对策不兼容。

　　当用户收到一条消息，指出由于驱动程序不兼容而无法打开硬件强制堆栈保护时，单击“查看不兼容的驱动程序”不会产生任何结果。

　　是什么导致内核模式硬件强制堆栈保护关闭警告?

　　简短的回答是 Windows 安全应用程序不擅长检测不兼容的驱动程序，用户可能无法解决问题。

　　对于那些不知道的人，“硬件强制堆栈保护”是一项新的 Windows 11 功能，它使应用程序或游戏能够利用本地 CPU 硬件来保护他们的代码。它旨在保护内存堆栈，这是在程序执行期间存储应用程序代码的地方。

　　安全功能可以通过现代 CPU 硬件和影子堆栈(代码的执行顺序)管理内存堆栈来保护代码。它是较新处理器中基于硬件的安全功能，不适用于某些应用程序或驱动程序，例如过时的反作弊系统或键盘/鼠标驱动程序。

　　例如，如果您有 Riot Vanguard (vgk.sys)、GameGuard 或类似应用程序，您将无法启用该功能。要启用该功能，您需要卸载它们。

　　Windows Latest 了解到微软正在探索一种更好的方法来检测和标记不兼容的驱动程序，以便用户可以进行更改。

　　值得注意的是，Windows 安全应用程序中的警告可能表明您的设备“易受攻击”，但并不一定意味着您的设备受到攻击。希望微软能尽快为每个人改进 Windows 安全应用程序的警告。