Windows 11 et sa fausse alerte de sécurité, Microsoft ne trouve pas la solution

Un bug dans Windows 11 pose actuellement des problèmes à Microsoft, car sa solution n'est pas évidente. Même avec la récente mise à jour de sécurité obligatoire KB5007651, publiée lors du Patch Tuesday d'avril 2023, le problème n'a pas été résolu. Ce bug concerne la protection de l'autorité de sécurité locale (LSA) qui est faussement signalée comme désactivée par Windows 11, bien qu'elle soit en réalité toujours activée. LSA, ou Local Security Authority, est une fonctionnalité critique du système de sécurité de Windows, introduite pour la première fois avec Windows 8.1 et Windows Server 2012 R2. Elle vise à limiter les possibilités de compromettre des informations d'identification en vérifiant les connexions Windows lors du processus d'ouverture de session. Avec Windows 11, Microsoft a introduit la protection du sous-système de l'autorité de sécurité en utilisant la virtualisation matérielle pour isoler le processus LSA dans un conteneur afin de prévenir les accès non autorisés par des applications malveillantes. Cependant, malgré l'activation de cette fonctionnalité, Windows 11 peut afficher à tort un avertissement indiquant que la protection de l'autorité de sécurité locale est désactivée, ce qui pourrait laisser penser que le PC est vulnérable. Il s'agit d'une fausse alerte, mais la correction de ce bug n'est pas simple, car les mises à jour de Windows Defender et les mises à jour cumulatives de Windows 11 n'ont pas résolu la situation. De plus, Windows Defender demande de manière persistante un redémarrage du PC pour tenter de résoudre le problème. Microsoft travaille sur une solution, mais il n'y a pas de calendrier précis pour sa résolution. En attendant, une solution de contournement existe, mais elle est délicate, car elle implique d'intervenir dans le registre de Windows 11, qui est la colonne vertébrale du système d'exploitation. Il est recommandé de faire une sauvegarde système, voire de cloner le disque système, avant d'effectuer toute manipulation dans le registre.

 

Procédure

  • Ouvrez l’Éditeur du Registre Windows (regedit).
  • Accédez à l’emplacement suivant : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  • Assurez-vous que les entrées RunAsPPL et RunAsPPLBoot sont présentes. Si ce n’est pas le cas il faut les créer via des DWORD
  • Ensuite associez à ces deux entrées la valeur 2.

Normalement après un redémarrage l’alerte de sécurité ne devrait plus apparaitre. Si une intervention dans le registre est trop délicate, vous pouvez exécuter le script PowerShell suivant. Il va apporter les modifications nécessaires au registre.

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 2 /f;reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPLBoot /t REG_DWORD /d 2 /f;

Selon le porte-parole de Microsoft, vous pouvez ignorer ces alertes en toute sécurité si vous activez la protection LSA (Local Security Authority) et redémarrez votre PC au moins une fois.