Microsoft active la protection LSA par défaut dans la version Canary de Windows
Selon Microsoft, la version la plus récente de Windows 11 distribuée aux initiés dans le canal Canary activera par défaut la protection LSA (Local Security Authority).
En empêchant l’injection de code non fiable dans le processus LSA et en empêchant le vidage de la mémoire du processus, la protection LSA est essentielle pour empêcher le vol de données sensibles ou d’identifiants de connexion.
Elle “contribue à protéger les informations d’identification de l’utilisateur en interdisant aux pilotes et aux plugins non signés de se charger dans l’autorité de sécurité locale”, selon la description de Microsoft dans l’application Sécurité de Windows 11.
En d’autres termes, la protection LSA joue le rôle de gardien, en veillant à ce que seules les parties autorisées aient accès aux données vitales nécessaires à l’authentification de l’utilisateur et à la sécurité du système.
Il y a toutefois des restrictions, car Microsoft n’a pas précisé les problèmes de compatibilité qu’elle vérifie. Cette nouvelle option de sécurité de Windows 11 ne sera activée que si elle passe l’audit.
“Nous effectuerons un audit pendant un certain temps après chaque mise à niveau afin de rechercher des incompatibilités avec la protection LSA. La protection LSA sera automatiquement activée si aucune incompatibilité n’est détectée”, ont déclaré Amanda Langowski et Brandon LeBlanc de Microsoft.
En lançant l’application Windows Security et en se rendant dans l’onglet Device Security > Core Isolation, les Windows Insiders peuvent déterminer si la protection LSA est activée sur leurs ordinateurs.
Ils peuvent également lancer l’Observateur d’événements et rechercher les occurrences avec les ID 3033 et 3063 sous Microsoft-Windows-Codeintegrity/Operational pour voir si des plugins et pilotes LSA ont été désactivés (plus de détails ici).
Microsoft a également annoncé en février 2022 qu’une règle de sécurité appelée “Attack Surface Reduction” dans Microsoft Defender serait activée par défaut pour empêcher les tentatives de vol d’informations d’identification Windows à partir de la fonction LSASS (Local Security Authority Subsystem Service).
Microsoft n’a pas encore répondu à un courriel de BleepingComputer demandant quand cette règle serait activée par défaut.
En bloquant par défaut le protocole Remote Mailslot, l’Insider Preview Build 25314 de Windows 11 qui est actuellement distribuée aux Insiders dans le Canary Channel renforce considérablement la sécurité de Windows 11.
Un nouveau bouton de notification pour copier les codes 2FA, les clés d’accès à l’explorateur de fichiers et un nouvel indicateur d’état VPN sont quelques-unes des nouvelles fonctionnalités que Microsoft a incluses aujourd’hui dans sa dernière version d’aperçu de Windows 11, qui a été mise à la disposition des utilisateurs nouvellement réactivés du canal Dev.
French 
Italian 