Microsoftは2023年3月、Windows 11で「ローカルセキュリティ機関の保護がオフになっている」と警告が表示される問題が発生している事を認めました。一度はこの問題を修正するアップデートが提供されましたが、アップデート自体が問題を引き起こしている事が確認され、撤回された事が明らかとなりました。
Windows 11の既知の不具合をまとめたページには以下のような情報が掲載されています。
この問題は、「Microsoft Defender Antivirusマルウェア対策プラットフォームの更新プログラムKB5007651(Version 1.0.2302.21002)」 をインストールすると、「ローカルセキュリティ保護がオフになっている」というセキュリティ通知や警告が表示されることがあるというものです。
問題を解決する、「Microsoft Defender Antivirusマルウェア対策プラットフォームの更新プログラムKB5007651(Version 1.0.2303.27001)」が提供されましたが、この更新プログラム自体に不具合がみつかり現在は提供が中止されています。
不具合が含まれるVersion 1.0.2303.27001をインストールした後、ブルースクリーンエラーが発生したり、デバイスが再起動した場合は、カーネルモードのハードウェア強制スタック保護を無効化する必要があるとのことです(「Windowsセキュリティ > デバイスセキュリティ > コア分離」で「カーネルモードハードウェア強制スタック保護」を無効化)。
Updated May 16, 2023: This known issue was previously resolved with an update for Microsoft Defender Antivirus antimalware platform KB5007651 (Version 1.0.2303.27001) but issues were found, and that update is no longer being offered to devices. If you encounter this issue, you will need to use the above workaround until the issue is resolved. If you have installed Version 1.0.2303.27001 and receive an error with a blue screen or if your device restarts when attempting to open some games or apps, you will need to disable Kernel-mode Hardware-enforced Stack Protection. To do this, select the Start button, type Windows Security and select it, select Device Security then select Core Isolation then disable Kernel-mode Hardware-enforced Stack Protection.
2023年5月16日に更新: この既知の問題は、以前、Microsoft Defender Antivirusのマルウェア対策プラットフォームKB5007651 (Version 1.0.2303.27001) のアップデートで解決しましたが、問題が見つかり、そのアップデートはデバイスに提供されなくなりました。この問題が発生した場合、問題が解決されるまで、上記の回避策を使用する必要があります。Version 1.0.2303.27001をインストールした後、ブルースクリーンでエラーが発生したり、一部のゲームやアプリを開こうとするとデバイスが再起動する場合は、カーネルモードのハードウェア強制スタック保護機能を無効にする必要があります。これを行うには、「スタート」ボタンを選択し、「Windowsセキュリティ」と入力して選択し、「デバイスセキュリティ」を選択して「コア分離」を選択し、「カーネルモードハードウェア強制スタック保護」を無効化します。
警告表示を回避するためには「LSA保護を有効にしていてデバイスを少なくとも1回再起動している場合、警告通知を解除して、再起動を促す追加の通知を無視する(LSA保護が有効であることは、ここで入手できる情報を使用してイベントビューアで確認することで確認できる)」という元々の方法が有効ということになります。
※2023/05/20(土)更新: イベントビューアーでWinInitイベントを探し以下の情報が含まれていれば保護されています。
12: LSASS.exe was started as a protected process with level: 4