Schutz durch lokale Sicherheitsautorität deaktiviert? So aktivieren Sie ihn wieder für Windows Defender 11!

Die Sicherheit Ihres Windows 11-Systems ist ein komplexes Gefüge aus verschiedenen Komponenten, die Hand in Hand arbeiten, um Sie vor Bedrohungen zu schützen. Eine dieser entscheidenden Komponenten ist der Schutz durch die lokale Sicherheitsautorität (LSA-Schutz). Wenn Windows Defender plötzlich meldet, dass dieser Schutz deaktiviert ist, kann das beunruhigend sein – und das zu Recht. Diese Warnung deutet auf eine potenzielle Schwachstelle hin, die Ihr System anfällig für bestimmte Arten von Angriffen machen könnte.

In diesem umfassenden Leitfaden erfahren Sie nicht nur, was der LSA-Schutz ist und warum er so wichtig ist, sondern auch, warum er möglicherweise deaktiviert wurde und wie Sie ihn Schritt für Schritt wieder aktivieren können. Wir gehen auf die häufigsten Ursachen ein, insbesondere auf Treiberprobleme, und bieten detaillierte Lösungen, damit Ihr Windows 11-System wieder optimal geschützt ist.

Was ist der Schutz durch die lokale Sicherheitsautorität (LSA-Schutz) überhaupt?

Der Schutz durch die lokale Sicherheitsautorität ist eine fortschrittliche Sicherheitsfunktion, die tief in Windows 11 integriert ist. Sie ist Teil der Virtualisierungsbasierten Sicherheit (VBS – Virtualization-Based Security) und der Kernisolierung (Core Isolation). Ihr Hauptzweck ist es, Ihre Anmeldeinformationen – Passwörter, Hashes und andere sensible Daten – vor Diebstahl durch Malware zu schützen.

Die lokale Sicherheitsautorität (LSA) ist ein Prozess in Windows, der für die Authentifizierung von Benutzern und die Verwaltung lokaler Sicherheitsrichtlinien zuständig ist. Normalerweise läuft dieser Prozess im normalen Betriebssystemumfeld. Mit dem aktivierten LSA-Schutz wird der LSA-Prozess jedoch in einem isolierten, virtualisierten Speicherbereich ausgeführt, der für andere Prozesse und potenziell bösartige Software unzugänglich ist. Dies erschwert es Angreifern erheblich, auf die im Arbeitsspeicher des Systems gespeicherten Anmeldeinformationen zuzugreifen und diese zu extrahieren (eine Technik, die als „Credential Dumping” bekannt ist).

Warum ist der LSA-Schutz so wichtig für Ihre Sicherheit?

Die Bedeutung des LSA-Schutzes kann kaum überbetont werden, insbesondere in einer Zeit, in der Cyberangriffe immer raffinierter werden. Hier sind die Hauptgründe, warum dieser Schutz unverzichtbar ist:

• Schutz vor Anmeldeinformationsdiebstahl: Ohne LSA-Schutz könnten Angreifer, die es geschafft haben, sich auf Ihrem System einzunisten, Tools wie Mimikatz verwenden, um Ihre Passwörter oder deren Hashes direkt aus dem Arbeitsspeicher auszulesen. Mit diesen gestohlenen Anmeldeinformationen könnten sie sich Zugang zu Ihren Online-Konten, Netzwerkressourcen oder anderen Systemen verschaffen.
• Erhöhte Abwehr gegen Pass-the-Hash-Angriffe: Diese Art von Angriff ermöglicht es Angreifern, sich mit gestohlenen Passwort-Hashes zu authentifizieren, ohne das tatsächliche Passwort zu kennen. Der LSA-Schutz erschwert dies, indem er die Hashes in einem isolierten Bereich speichert.
• Grundlage für weitere Sicherheitsfunktionen: Der LSA-Schutz ist eng mit der Arbeitsspeicher-Integrität (Memory Integrity) verbunden, einer weiteren Kernisolierungsfunktion, die sicherstellt, dass kritische Windows-Prozesse und Treiber von Malware nicht manipuliert werden können. Wenn der LSA-Schutz deaktiviert ist, ist oft auch die Arbeitsspeicher-Integrität betroffen oder kann nicht aktiviert werden.
• Konformität mit Sicherheitsstandards: Für viele Unternehmen und Organisationen ist die Aktivierung dieser Art von Schutzfunktionen eine Voraussetzung, um bestimmte Sicherheitsstandards und -richtlinien zu erfüllen.

Woher kommt die Meldung „Schutz durch lokale Sicherheitsautorität ist deaktiviert”?

Die Meldung „Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert” erscheint in der Regel in der Windows-Sicherheit unter „Gerätesicherheit” im Bereich „Kernisolierung”. Sie ist fast immer das Ergebnis eines inkompatiblen Treibers auf Ihrem System. Windows kann den LSA-Schutz nicht aktivieren, wenn es einen Treiber findet, der nicht mit der Virtualisierungsbasierten Sicherheit (VBS) kompatibel ist. Die Gründe hierfür können vielfältig sein:

• Veraltete oder inkompatible Treiber: Dies ist die mit Abstand häufigste Ursache. Oft handelt es sich um ältere Treiber von Hardware, die nicht mehr aktiv vom Hersteller unterstützt wird, oder um Treiber, die nicht für die speziellen Anforderungen der VBS unter Windows 11 entwickelt wurden. Besonders berüchtigte Kandidaten sind oft Treiber von Virtualisierungssoftware (wie ältere Versionen von VMware Workstation, VirtualBox oder sogar Hyper-V-Komponenten), aber auch ältere Grafikkartentreiber, Audiotreiber oder andere Gerätesoftware. Ein bekannter Schuldiger ist manchmal die Datei hvix64.sys, die mit bestimmten Virtualisierungsumgebungen zusammenhängt.
• Probleme mit Drittanbieter-Sicherheitssoftware: Obwohl seltener direkt für den LSA-Schutz verantwortlich, können bestimmte Antivirenprogramme oder andere Sicherheitstools von Drittanbietern Konflikte mit den Kernisolierungsfunktionen von Windows verursachen. Es ist jedoch wichtig zu beachten, dass Windows Defender selbst diese Meldung ausgibt, da er die zugrunde liegende Infrastruktur zur Aktivierung des LSA-Schutzes benötigt.
• Fehlerhafte Systemdateien oder Beschädigungen: In seltenen Fällen können beschädigte Systemdateien oder Registrierungseinträge die korrekte Funktion des LSA-Schutzes beeinträchtigen.
• Software-Updates: Manchmal kann ein Windows-Update oder ein Treiber-Update selbst zu Inkompatibilitäten führen, wenn es nicht sauber installiert wird oder Bugs enthält.

Status des LSA-Schutzes überprüfen:

Bevor wir mit der Fehlerbehebung beginnen, stellen wir sicher, dass Sie den Status des Schutzes durch die lokale Sicherheitsautorität korrekt überprüfen können:

1. Öffnen Sie das Startmenü und suchen Sie nach „Windows-Sicherheit” oder klicken Sie auf das Schild-Symbol in der Taskleiste.
2. Klicken Sie in der linken Navigation auf „Gerätesicherheit„.
3. Suchen Sie den Abschnitt „Kernisolierung„. Wenn der LSA-Schutz deaktiviert ist, sehen Sie hier eine entsprechende Meldung und möglicherweise ein Ausrufezeichen-Symbol.
4. Klicken Sie auf „Details zur Kernisolierung”, um weitere Informationen zu erhalten. Hier finden Sie den Schalter für „Schutz durch lokale Sicherheitsautorität„.

Schritt-für-Schritt-Anleitung: LSA-Schutz aktivieren

Vorbereitung: System überprüfen und mögliche Ursachen identifizieren

Der erste Schritt zur Lösung des Problems ist die Identifizierung des oder der inkompatiblen Treiber. Windows gibt nicht immer direkt an, welcher Treiber das Problem verursacht, aber es gibt Wege, dies herauszufinden.

1. Überprüfung der Arbeitsspeicher-Integrität (Memory Integrity)

Der LSA-Schutz ist eng mit der Arbeitsspeicher-Integrität verbunden und kann in der Regel nur aktiviert werden, wenn auch die Arbeitsspeicher-Integrität aktiv ist. Prüfen Sie daher zunächst deren Status:

• Gehen Sie erneut zu Windows-Sicherheit > Gerätesicherheit > Kernisolierung > „Details zur Kernisolierung”.
• Stellen Sie sicher, dass der Schalter für „Arbeitsspeicher-Integrität” auf „Ein” steht. Wenn nicht, versuchen Sie, ihn zu aktivieren. Windows könnte Ihnen hier bereits den Namen eines inkompatiblen Treibers anzeigen, der die Aktivierung verhindert.
• Wenn Windows Ihnen einen bestimmten Treiber nennt, notieren Sie dessen Namen und fahren Sie mit den Schritten zur Treiberbehandlung fort.
• Sollten Sie die Arbeitsspeicher-Integrität nicht aktivieren können, ohne dass Windows einen spezifischen Treiber nennt, fahren Sie mit der Ereignisanzeige fort.

2. Nutzung der Ereignisanzeige zur Problemidentifizierung

Die Ereignisanzeige ist ein mächtiges Tool, um Systemfehler und Warnungen zu finden:

1. Drücken Sie Win + R, geben Sie eventvwr.msc ein und drücken Sie Enter.
2. Navigieren Sie im linken Bereich zu „Windows-Protokolle” > „System”.
3. Klicken Sie im rechten Bereich unter „Aktionen” auf „Aktuelles Protokoll filtern…”.
4. Wählen Sie unter „Ereignisebenen” die Optionen „Kritisch”, „Fehler” und „Warnung” aus.
5. Geben Sie im Feld „Ereignis-IDs” folgende IDs ein: 6281 (für Probleme mit VBS/Kernisolierung), 51 (für bestimmte Treiberfehler) oder 50. Sie können auch nach den Quellen Hyper-V-Hypervisor, Microsoft-Windows-Kernisolierung oder Kernel-Boot filtern.
6. Klicken Sie auf „OK” und durchsuchen Sie die gefilterten Ereignisse der letzten Tage (insbesondere seit dem Auftreten des Problems). Suchen Sie nach Meldungen, die auf inkompatible Treiber hinweisen, oft mit Hinweisen auf VBS oder Kernisolierung. Der Ereignistext sollte den Namen der problematischen Treiberdatei (z.B. .sys-Datei) oder den Namen der Software, zu der sie gehört, enthalten.

Treiber aktualisieren und entfernen: Der Hauptverursacher

Sobald Sie einen potenziell problematischen Treiber identifiziert haben (oder wenn Sie keinen spezifischen Treiber finden konnten, aber vermuten, dass es daran liegt), gehen Sie wie folgt vor:

1. Treiber aktualisieren

Versuchen Sie zunächst, den problematischen Treiber zu aktualisieren:

• Über den Geräte-Manager: Drücken Sie Win + X und wählen Sie „Geräte-Manager”. Suchen Sie das entsprechende Gerät (z.B. Grafikkarten unter „Grafikkarten”, oder unter „Systemgeräte” für viele Systemtreiber). Klicken Sie mit der rechten Maustaste darauf und wählen Sie „Treiber aktualisieren”. Wählen Sie „Automatisch nach Treibern suchen”.
• Hersteller-Websites: Dies ist oft der beste Weg. Besuchen Sie die offizielle Website des Herstellers des Geräts (z.B. NVIDIA, AMD, Intel für Grafikkarten; VMware, VirtualBox für Virtualisierungssoftware; Soundkartenhersteller usw.). Laden Sie die neuesten Windows 11-kompatiblen Treiber herunter und installieren Sie diese.
• Windows Update: Stellen Sie sicher, dass alle optionalen Updates über Windows Update installiert sind, da diese oft Treiberaktualisierungen enthalten.

2. Inkompatible Treiber deinstallieren (wenn Update nicht hilft)

Wenn das Aktualisieren nicht funktioniert oder kein Update verfügbar ist, müssen Sie den Treiber möglicherweise deinstallieren. Seien Sie hierbei vorsichtig, da das Deinstallieren wichtiger Systemtreiber zu Instabilität führen kann.

• Im Geräte-Manager: Klicken Sie mit der rechten Maustaste auf das Gerät und wählen Sie „Gerät deinstallieren”. Kreuzen Sie „Treibersoftware für dieses Gerät löschen” an, falls verfügbar. Starten Sie Ihren PC neu. Windows versucht dann, einen generischen Treiber zu installieren oder den Treiber automatisch erneut zu erkennen.
• Identifizierte .sys-Dateien entfernen (für Fortgeschrittene): Wenn Sie über die Ereignisanzeige eine spezifische .sys-Datei als Problem identifiziert haben und wissen, dass sie zu einer nicht mehr benötigten Software gehört (z.B. ältere Virtualisierungssoftware, die Sie deinstalliert haben, aber die Treiberreste geblieben sind), können Sie diese manuell entfernen.
  • Öffnen Sie eine Eingabeaufforderung als Administrator (Win + X, „Terminal (Administrator)”).
  • Um alle installierten Treiber aufzulisten und nach dem problematischen Treiber zu suchen, geben Sie ein: driverquery /v /fo list > drivers.txt und öffnen Sie die drivers.txt-Datei.
  • Wenn Sie den problematischen Treiber identifiziert haben (z.B. hvix64.sys) und wissen, dass er zu keiner aktiven Anwendung gehört, können Sie versuchen, ihn mit dem Tool pnputil zu entfernen. Suchen Sie zuerst den OEM-Namen des Treibers: pnputil /enum-drivers | findstr /i "NameDesTreibers" (ersetzen Sie „NameDesTreibers” durch den Namen Ihrer .sys-Datei ohne die Endung, oder den Namen, der in der Ereignisanzeige genannt wurde).
  • Sobald Sie den „Published Name” (z.B. oemXX.inf) haben, können Sie den Treiber entfernen: pnputil /delete-driver oemXX.inf /uninstall /force. Ersetzen Sie oemXX.inf durch den tatsächlichen Namen. WARNUNG: Seien Sie äußerst vorsichtig bei der Verwendung von pnputil. Ein falscher Treiber kann Ihr System unbrauchbar machen. Nutzen Sie dies nur, wenn Sie sich absolut sicher sind, was Sie tun.
• Deinstallation problematischer Software: Gehen Sie in „Einstellungen” > „Apps” > „Installierte Apps” und deinstallieren Sie alle Programme, die Sie kürzlich installiert haben oder die im Verdacht stehen, inkompatible Treiber zu verwenden (insbesondere ältere Virtualisierungssoftware). Starten Sie danach den PC neu.

Treiberüberprüfung (Driver Verifier) nutzen (für Fortgeschrittene und mit Vorsicht!)

Wenn Sie den problematischen Treiber immer noch nicht finden können, aber davon überzeugt sind, dass ein Treiber die Ursache ist, können Sie den Driver Verifier nutzen. Dieses Tool ist extrem mächtig, kann aber auch zu Bluescreens (BSODs) führen, wenn es einen problematischen Treiber findet und diesen abstürzen lässt.

1. Wichtige Warnung: Erstellen Sie unbedingt einen Systemwiederherstellungspunkt, bevor Sie den Driver Verifier aktivieren.
2. Drücken Sie Win + R, geben Sie verifier ein und drücken Sie Enter.
3. Wählen Sie „Benutzerdefinierte Einstellungen erstellen (für Codeentwickler)” und klicken Sie auf „Weiter”.
4. Wählen Sie alle Standardtests aus, außer „DDI-Konformitätsprüfung” und „Simulierte Ressourcenengpässe”. Klicken Sie auf „Weiter”.
5. Wählen Sie „Treiber aus einer Liste auswählen” und klicken Sie auf „Weiter”.
6. Wählen Sie im nächsten Fenster „Anbieterfilterung aktivieren” und lassen Sie „Microsoft” ausgeschlossen. Wählen Sie dann alle Treiber aus, die nicht von Microsoft stammen. Wenn Sie alle auswählen möchten, die nicht von Microsoft sind, können Sie auf „Alle auswählen” klicken und dann die Microsoft-Treiber manuell abwählen.
7. Klicken Sie auf „Fertig stellen” und starten Sie Ihren PC neu.
8. Ihr System wird nun mit aktivierter Treiberüberprüfung gestartet. Wenn ein inkompatibler Treiber gefunden wird, sollte Ihr PC abstürzen und einen Bluescreen (BSOD) mit Informationen zum problematischen Treiber anzeigen. Notieren Sie sich den Namen der .sys-Datei, die den Absturz verursacht hat.
9. Driver Verifier deaktivieren: Nach der Fehlerbehebung oder wenn Ihr System wiederholt abstürzt, müssen Sie den Driver Verifier wieder deaktivieren. Starten Sie dazu im abgesicherten Modus (falls das System nicht normal bootet), öffnen Sie erneut verifier und wählen Sie „Vorhandene Einstellungen löschen” und klicken Sie auf „Fertig stellen”. Starten Sie dann neu.

Den LSA-Schutz direkt in den Windows-Sicherheitseinstellungen aktivieren

Nachdem Sie potenzielle Treiberprobleme behoben haben, ist es Zeit, den LSA-Schutz wieder zu aktivieren:

1. Öffnen Sie erneut die Windows-Sicherheit.
2. Navigieren Sie zu „Gerätesicherheit” > „Kernisolierung„.
3. Klicken Sie auf „Details zur Kernisolierung”.
4. Suchen Sie den Schalter für „Schutz durch lokale Sicherheitsautorität” und stellen Sie ihn auf „Ein”.
5. Möglicherweise werden Sie aufgefordert, Ihren PC neu zu starten.

Neustart des Systems ist entscheidend!

Ein einfacher Neustart reicht oft nicht aus. Führen Sie einen vollständigen Neustart durch (nicht Herunterfahren und wieder Einschalten, da Windows 11 oft einen „Schnellstart” durchführt). Gehen Sie ins Startmenü > Ein/Aus > „Neu starten”. Nur so können die Änderungen an den Kernisolierungsfunktionen vollständig angewendet werden.

Was tun, wenn der LSA-Schutz immer wieder deaktiviert wird?

Wenn der LSA-Schutz nach einem Neustart erneut deaktiviert wird, deutet dies darauf hin, dass die zugrunde liegende Ursache (höchstwahrscheinlich ein inkompatibler Treiber) noch nicht vollständig behoben wurde. Überprüfen Sie erneut die Ereignisanzeige und die Arbeitsspeicher-Integrität. Gehen Sie die Schritte zur Treiberidentifizierung und -entfernung erneut durch. Es könnte sein, dass mehrere inkompatible Treiber vorhanden sind, oder dass ein Treiber sich nach der Deinstallation wieder installiert.

• Hardware prüfen: Überlegen Sie, welche Hardware Sie kürzlich installiert oder aktualisiert haben. Manchmal sind es USB-Geräte, die spezifische Treiber benötigen.
• BIOS/UEFI-Updates: In seltenen Fällen können auch veraltete BIOS/UEFI-Versionen Probleme mit VBS verursachen. Überprüfen Sie die Website Ihres Motherboard-Herstellers auf Updates.
• Clean Install: Als letzte Option, wenn alle Stricke reißen, könnte eine saubere Neuinstallation von Windows 11 das Problem beheben, da hierbei alle alten Treiberreste entfernt werden. Dies ist jedoch ein drastischer Schritt und sollte nur in Betracht gezogen werden, wenn nichts anderes hilft.
• Microsoft Support kontaktieren: Wenn Sie alle Schritte befolgt haben und das Problem weiterhin besteht, könnte es sich um einen spezifischen Bug in Ihrer Windows-Installation oder um eine sehr hartnäckige Treiberinkompatibilität handeln, die eine tiefere Analyse erfordert.

Sicherstellen, dass Ihr System auf dem neuesten Stand ist

Vergessen Sie nicht, regelmäßig nach Windows Updates zu suchen. Microsoft veröffentlicht kontinuierlich Verbesserungen und Fehlerbehebungen, die auch Probleme mit Sicherheitsfunktionen und Treiberkompatibilität beheben können.

Fazit

Der „Schutz durch lokale Sicherheitsautorität” ist ein Eckpfeiler der modernen Windows 11-Sicherheit. Eine Deaktivierung ist ein klares Zeichen dafür, dass Handlungsbedarf besteht. Obwohl die Fehlersuche bei inkompatiblen Treibern manchmal frustrierend sein kann, ist die Mühe, die Sie investieren, um diesen Schutz wieder zu aktivieren, entscheidend für die Sicherheit Ihrer Daten und Ihres Systems.

Indem Sie die in diesem Artikel beschriebenen Schritte befolgen – von der Identifizierung problematischer Treiber über deren Aktualisierung oder Entfernung bis hin zur finalen Aktivierung in der Windows-Sicherheit – können Sie sicherstellen, dass Ihr Windows Defender Ihr System wieder mit voller Kraft schützt. Bleiben Sie proaktiv bei der Wartung Ihres Systems, und Ihre digitale Sicherheit wird es Ihnen danken!