Fehlalarm: Microsoft-Defender-Warnung vor deaktiviertem Schutz führt in die Irre

Unter Windows 11 zeigt Microsoft Defender auf vielen Systemen einen deaktivieren Schutz durch "die lokalen Sicherheitsautorität". Das ist ein Fehlalarm.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Ein Finger zeigt auf den Windows-11-Startbildschirm.

(Bild: mundissima/Shutterstock.com)

Lesezeit: 2 Min.
Von

Eine Fehlermeldung des Microsoft Defender unter Windows 11 irritiert viele Nutzerinnen und Nutzer: "Der Schutz durch die lokalen [sic] Sicherheitsautorität ist deaktiviert. Ihr Gerät ist möglicherweise anfällig", zeigt das Windows-11-Sicherheitscenter jetzt an. Auch nach Aktivierung und Systemneustart bleibt die Warnung erhalten. Microsoft hat das fehlerhafte Verhalten jetzt bestätigt.

Das Windows-11-Sicherheitscenter zeigt eine etwas holprige Fehlermeldung, wenn es glaubt, der LSA-Schutz sei nicht aktiv.

(Bild: Screenshot/dmk)

Der "Schutz durch lokale Sicherheitsautorität" soll "Benutzeranmeldeinformationen" schützen, indem der Mechanismus das Laden von nicht signierten Treibern und Plug-ins innerhalb der lokalen Sicherheitsautorität unterbindet. So erklärt es das Windows-Sicherheitscenter.

Auch nach Aktivierung und Neustart beharrt Windows 11 darauf, dass ein Neustart zur Aktivierung nötig sei. Das ist derzeit ein Fehlalarm, räumt Microsoft ein.

(Bild: Screenshot/dmk)

Im Zusammenspiel mit SecureBoot und UEFI-Lock soll der LSA-Schutz etwa Treiber und Prozesse daran hindern, unbefugt Speicherbereiche und damit etwa Anmeldeinformationen auszulesen. Der jetzt als solcher benannter Fehlalarm besteht darin, dass Admins die Option aktivieren und das System neu starten können – nach dem Neustart die Fehlermeldung jedoch weiterhin angezeigt wird.

Microsoft hat das Problem in den Windows Release Health-Notizen zu Windows 11 inzwischen bestätigt. Nach der Installation eines Updates für den Microsoft Defender, das diesen auf Stand 1.0.2302.21002 hievt, könne diese Meldung auftreten. Windows könnte nachhaltig nach einem Neustart zur Aktivierung des Schutzes fragen. Nur dieses eine Update für die "Windows-Sicherheit" vom März-Patchday von Microsoft löse den Fehler aus, die anderen Aktualisierungen für die Betriebssysteme seien nicht betroffen, betont Microsoft in der Notiz.

Als temporäre Umgehungsmaßnahme schlagen die Entwickler vor, die Meldung wegzuklicken und zu ignorieren, sofern die Option aktiviert und der Rechner einmal neu gestartet wurde. Ob der LSA-Schutz aktiv ist, lasse sich im Ereignisprotokoll prüfen. Das WinInit-Ereignis "12: LSASS.exe was started as a protected process with level: 4" tauche dann im System-Protokoll unter den Windows-Protokollen auf. Von anderen, etwa im Internet zu findenden Abhilfen – einige Quellen schlagen etwa Modifikationen an der Windows-Registry vor – rät Microsoft ausdrücklich ab.

In Kürze dürfte ein Update dem Spuk ein Ende bereiten. Microsoft schreibt: "Wir arbeiten an einer Lösung und werden Sie auf dem Laufenden halten, sobald sie verfügbar ist".

(dmk)