Windows 11 - Local Security Authority protection (LSA) lässt sich nicht aktivieren

[Falc410]

Seit heute zeigt mein Windows Security App / Defender ein gelbes Ausrufezeichen an ohne das ich etwas geändert hätte oder sonst was neu installiert habe. LSA ist angeblich nicht aktiv. Habe es mal auf Off und wieder On gestellt und neugestartet aber immer noch das selbe. Habe jetzt schon 3x neugestartet hintereinander, auch mal neue Updates installiert - nichts.
Google hilft mir auch nicht weiter - da kommen nur Anleitung wie man das einstellt. Habe dann die Windows Security App resettet (alle Einstellungen gelöscht) aber hat auch nichts geholfen. Jemand noch eine Idee?

 

[cvzone]

Geht nur mit Domänen Controller, im Active Directory. (stimmt nicht, es gibt eine offline und online Version)

Er sollte es zumindest "offline" nicht versuchen automatisch einzuschalten.

Bei mir stand es auch auf AN und das es derzeit auch nicht aktiv sei. Hab dann mal versucht über die Registry für Single Computers zu aktivieren mit RunAsPPL=2, aber das funktioniert auch nicht.

For client devices running Windows 11, 22H2, additional LSA protection will be enabled by default if the following criteria are met:

• The device is a new install of Windows 11, 22H2 (not upgraded from previous release).
• The device is enterprise joined (Active Directory domain joined, Azure AD domain joined, or hybrid Azure AD domain joined).
• The device is capable of Hypervisor-protected code integrity (HVCI)

https://learn.microsoft.com/en-us/w...agement/configuring-additional-lsa-protection

Ergänzung (16. März 2023)

Das hat bei mir geholfen. Wichtig scheint RunAsPPLBoot zu sein. RunAsPPL alleine hat nicht gereicht.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RunAsPPL"=dword:00000002
"RunAsPPLBoot"=dword:00000002

0= aus
1= mit UEFI Variable
2= ohne UEFI Variable

Von Einstellungen mit dem Group Policy Editor mit UEFI Lock würde ich absehen.

Ergänzung (16. März 2023)

Ist wohl ein bekannter Fehler. Habe eben erst durch Zufall den schon bestehenden Beitrag vom Februar hier dazu gesehen. Da war die Lösung auch die beiden Reg Keys zu ändern. Scheint ein Bug zu sein.
https://www.computerbase.de/forum/t...icherheit-autoritaet-ist-deaktiviert.2132208/

 

[BFF]

Was passiert eigentlich wenn Du auf "dismiss" klickst?

Ich meine das ich das auch mal hatte und irgendwann ist das durch, nenne es Selbstheilung, verschwunden.

 

[cvzone]

Was passiert eigentlich wenn Du auf "dismiss" klickst?

Habe ich vorhin versucht. Die Warnmeldung ist weg und der Schalter steht weiterhin auf AN und meldet, das die Funktion erst nach einem Neustart funktioniert. Aber Neustart ändert nichts.

 

[Falc410]

Also bei mir gibt es nur RunAsPPL, RunAsPPLBoot existierte nicht. Hab den mal manuell angelegt. Wert war 2. Mache mal einen Neustart und schaue was passiert.

Edit: Danke, das wars. Den anderen Thread hatte ich nicht gefunden weil ich nach dem Englischen Begriff gesucht hatte.