Defender最新更新导致内核模式硬件强制堆栈保护关闭问题

在最新的Windows Defender更新之后，Windows 11用户报告说，Windows Security显示了一个新的"内核模式的硬件强制堆栈保护已关闭。你的设备可能存在漏洞"的警告。当用户试图启用该功能时，该警告并没有消失，可能是由于驱动程序的问题。

在Windows11版本21H2或更新的最新更新中，该警告已被添加到Windows安全应用程序中。这一变化是作为强制性安全更新的一部分推出的，并且是自动安装的。

切换内核模式硬件强制堆栈保护功能的选项取代了Local Security Authority (LSA),，后者自2023年3月的累积更新以来一直没有正常工作。不幸的是，Windows Security又出现了新的报错，声称"内核模式硬件强制堆栈保护已关闭"。

然而，这一次似乎不是一个报告故障。相反，如果你遇到"内核模式的硬件强制堆栈保护已关闭，你的设备可能有漏洞"的警告，这可能是一个驱动程序或应用程序真的阻止了该功能的工作。Windows安全应用程序并不擅长检测不兼容的驱动程序，用户可能无法解决这个问题。

"硬件强制堆栈保护"是一项新的Windows 11功能，它使应用程序或游戏能够利用本地CPU硬件来保护其代码。它的目的是保护内存堆栈，也就是在程序执行过程中存储应用程序代码的地方。

该安全功能可以通过现代CPU硬件和影子堆栈（代码的执行顺序）管理内存堆栈来保护代码。在较新的处理器中，这是一个基于硬件的安全功能，它不会与某些应用程序或驱动程序一起工作，如过时的反作弊系统或键盘/鼠标驱动程序。

例如，如果在计算机上运行Riot Vanguard，你将无法启用该功能。为了启用该功能就必须卸载该应用程序。

微软正在探索一种更好的方法来检测和标记不兼容的驱动程序，以便用户可以进行更改。

值得注意的是，Windows Security应用程序中的警告，即你的设备是"脆弱的"，并不一定意味着你的设备受到攻击。希望微软能尽早为大家改善Windows Security应用程序的警告。