Condividi tramite

Configurare l'aggiunta della protezione LSA

Questo articolo illustra come configurare la protezione aggiunta per il processo LSA (Local Security Authority) per impedire l'inserimento di codice che può compromettere le credenziali.

LSA, che include il processo LSAS (Local Security Authority Server Service), convalida gli utenti per gli accessi locali e remoti e applica i criteri di sicurezza locali. In Windows 8.1 e versioni successive viene aggiunta la protezione per LSA per impedire ai processi non protetti di leggere la memoria e inserire codice. Questa funzionalità offre una maggiore sicurezza per le credenziali archiviate e gestite da LSA. È possibile ottenere una maggiore protezione quando si usa il blocco UEFI (Unified Extensible Firmware Interface) e l'avvio protetto. When these settings are enabled, disabling the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry key has no effect.

Requisiti dei processi protetti per plug-in o driver

Affinché un plug-in O driver LSA venga caricato correttamente come processo protetto, deve soddisfare i criteri nelle due sezioni seguenti.

Signature verification

La modalità protetta richiede che qualsiasi plug-in caricato in LSA venga firmato digitalmente con una firma Microsoft. Tutti i plug-in non firmati o non firmati con una firma Microsoft non vengono caricati in LSA. Esempi di plug-in sono driver per smart card, plug-in crittografici e filtri per password.

  • I plug-in LSA che sono driver, ad esempio i driver di smart card, devono essere firmati tramite la certificazione WHQL (Windows Hardware Quality Labs). Per ulteriori informazioni, vedere Firma di rilascio WHQL.
  • I plug-in LSA che non dispongono di un processo di certificazione WHQL devono essere firmati usando il servizio di firma file per LSA.

Conformità alle linee guida per il processo Microsoft Security Development Lifecycle (SDL)

Usare l'elenco seguente per testare accuratamente l'abilitazione della protezione LSA prima di distribuire la funzionalità su larga scala:

  • Identificare tutti i plug-in e i driver LSA usati dall'organizzazione. Includere driver o plug-in non Microsoft, ad esempio driver di smart card e plug-in di crittografia, e qualsiasi software sviluppato internamente usato per applicare filtri password o notifiche di modifica delle password.
  • Assicurarsi che tutti i plug-in LSA siano firmati digitalmente con un certificato Microsoft affinché non falliscano il caricamento sotto la protezione LSA.
  • Assicurarsi che tutti i plug-in firmati correttamente possano essere caricati correttamente in LSA e che eseguano come previsto.
  • Usare i log di controllo per identificare eventuali plug-in e driver LSA che non vengono eseguiti come processo protetto.

Limitazioni dell'abilitazione della protezione LSA

Se è abilitata la protezione LSA aggiunta, non è possibile eseguire il debug di un plug-in LSA personalizzato. Non è possibile collegare un debugger a LSASS quando si tratta di un processo protetto. In generale, non è possibile eseguire il debug di un processo protetto in esecuzione.

Controllare i plug-in e i driver LSA che non vengono caricati come processo protetto

Prima di abilitare la protezione LSA, usare la modalità di controllo per identificare i plug-in e i driver LSA che non vengono caricati in modalità protetta LSA. In modalità di controllo, il sistema genera registri eventi che identificano tutti i plug-in e i driver che non vengono caricati in LSA se la protezione LSA è abilitata. I messaggi vengono registrati senza bloccare effettivamente i plug-in o i driver.

The events described in this section are recorded in Event Viewer in the Operational log under Applications and Services Logs>Microsoft>Windows>CodeIntegrity. Questi eventi consentono di identificare i plug-in e i driver LSA che non vengono caricati a causa di motivi di firma. To manage these events, you can use the wevtutil command-line tool. For information about this tool, see Wevtutil.

Important

Gli eventi di controllo non vengono generati se Controllo App Intelligente è abilitato su un dispositivo. Per controllare o modificare lo stato di Smart App Control, aprire l'applicazione Sicurezza di Windows e passare alla pagina di controllo app e browser . Selezionare Smart App Control settings (Impostazioni controllo app intelligenti ) per verificare se Smart App Control è abilitato. If you want to audit added LSA protection, change the configuration to Off.

Note

La modalità di controllo per la protezione LSA aggiunta è abilitata per impostazione predefinita nei dispositivi che eseguono Windows 11 versione 22H2 e successive. Se il dispositivo esegue questa compilazione o versione successiva, non sono necessarie altre azioni per controllare la protezione LSA aggiunta.

Abilitare la modalità di controllo per LSASS.exe in un singolo computer

  1. Open the Registry Editor, or enter RegEdit.exe in the Run dialog, and then go to the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe registry key.
  2. Open the AuditLevel value. Set its data type to dword and its data value to 00000008.
  3. Riavviare il computer.

Dopo aver eseguito questi passaggi, cercare gli eventi con gli ID seguenti: 3065 e 3066. Per verificare la presenza di questi eventi, aprire Visualizzatore eventi e quindi espandere Registri applicazioni e servizi Microsoft>>Windows>CodeIntegrity>Operational.

  • Event 3065 occurs when a code integrity check determines that a process, usually LSASS.exe, attempts to load a driver that doesn't meet the security requirements for shared sections. Tuttavia, a causa dei criteri di sistema attualmente impostati, l'immagine può essere caricata.
  • Event 3066 occurs when a code integrity check determines that a process, usually LSASS.exe, attempts to load a driver that doesn't meet the Microsoft signing level requirements. Tuttavia, a causa dei criteri di sistema attualmente impostati, l'immagine può essere caricata.

Se un plug-in o un driver contiene sezioni condivise, l'evento 3066 viene registrato con l'evento 3065. La rimozione delle sezioni condivise dovrebbe impedire che si verifichino entrambi gli eventi a meno che il plug-in non soddisfi i requisiti del livello di firma Microsoft.

Important

Questi eventi operativi non vengono generati quando un debugger del kernel è collegato e abilitato in un sistema.

Abilitare la modalità di controllo per LSASS.exe su più computer

Per abilitare la modalità audit per più computer in un dominio, è possibile utilizzare l'estensione lato client del Registro di sistema per i Criteri di gruppo per distribuire il valore di registro LSASS.exe relativo al livello di audit. È necessario modificare la chiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  1. Open the Group Policy Management Console by entering gpmc.msc in the Run dialog or selecting Group Policy Management Console from the Start menu.
  2. Creare un nuovo oggetto Criteri di gruppo (GPO) collegato a livello di dominio oppure collegato all'unità organizzativa che contiene gli account computer. In alternativa, selezionare un oggetto GPO (Criteri di gruppo) già distribuito.
  3. Right-click the GPO, and then select Edit to open the Group Policy Management Editor.
  4. Expand Computer Configuration>Preferences>Windows Settings.
  5. Right-click Registry, point to New, and then select Registry Item. Verrà visualizzata la finestra di dialogo Nuove proprietà del Registro di sistema .
  6. Nella finestra di dialogo Nuove proprietà del Registro di sistema selezionare o immettere i valori seguenti:
    • For Hive, select HKEY_LOCAL_MACHINE.
    • For Key Path, select SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
    • For Value name, enter AuditLevel.
    • For Value type, select REG_DWORD.
    • For Value data, enter 00000008.
  7. Select OK.

Note

Affinché l'oggetto Criteri di gruppo venga applicato, la modifica dell'oggetto Criteri di gruppo deve essere replicata in tutti i controller di dominio all'interno del dominio.

To opt in for added LSA protection on multiple computers, you can use the registry client-side extension for Group Policy to modify HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Per istruzioni, vedere Abilitare e configurare la protezione delle credenziali LSA aggiunte più avanti in questo articolo.

Identificare i plug-in e i driver che LSASS.exe non riesce a caricare

Quando la protezione LSA è abilitata, il sistema genera registri eventi che identificano tutti i plug-in e i driver che non vengono caricati in LSA. Dopo aver acconsentito esplicitamente all'aggiunta della protezione LSA, è possibile usare il registro eventi per identificare i plug-in e i driver LSA che non vengono caricati in modalità protezione LSA.

Verificare la presenza degli eventi seguenti nel Visualizzatore eventi espandendo Registri applicazioni e servizi di>Microsoft>Windows>CodeIntegrity>Operational:

  • Event 3033 occurs when a code integrity check determines that a process, usually LSASS.exe, attempts to load a driver that doesn't meet the Microsoft signing level requirements.
  • Event 3063 occurs when a code integrity check determines that a process, usually LSASS.exe, attempts to load a driver that doesn't meet the security requirements for shared sections.

Le sezioni condivise in genere generano quando le tecniche di programmazione consentono ai dati dell'istanza di interagire con altri processi che usano lo stesso contesto di sicurezza. Le sezioni condivise possono creare vulnerabilità di sicurezza.

Abilitare e configurare la protezione delle credenziali LSA aggiuntiva

È possibile configurare la protezione LSA aggiunta per i dispositivi che eseguono Windows 8.1 o versione successiva o Windows Server 2012 R2 o versione successiva usando le procedure descritte in questa sezione.

Dispositivi che usano l'avvio protetto e UEFI

Quando si abilita la protezione LSA nei dispositivi basati su x86 o x64 che usano l'avvio protetto o UEFI, è possibile archiviare una variabile UEFI nel firmware UEFI usando una chiave o un criterio del Registro di sistema. Se abilitato con il blocco UEFI, LSASS viene eseguito come processo protetto e questa impostazione viene archiviata in una variabile UEFI nel firmware.

Quando l'impostazione viene archiviata nel firmware, la variabile UEFI non può essere eliminata o modificata per configurare la protezione LSA aggiunta modificando il Registro di sistema o per criterio. La variabile UEFI deve essere reimpostata usando le istruzioni in Rimuovere la variabile UEFI di protezione LSA.

Se abilitata senza un blocco UEFI, LSASS viene eseguita come processo protetto e questa impostazione non viene archiviata in una variabile UEFI. Questa impostazione viene applicata per impostazione predefinita nei dispositivi con una nuova installazione di Windows 11 versione 22H2 o successiva.

Nei dispositivi basati su x86 o x64 che non supportano UEFI o in cui l'avvio protetto è disabilitato, non è possibile archiviare la configurazione per la protezione LSA nel firmware. Questi dispositivi si basano esclusivamente sulla presenza della chiave del Registro di sistema. In questo scenario è possibile disabilitare la protezione LSA usando l'accesso remoto al dispositivo. La disabilitazione della protezione LSA non ha effetto fino al riavvio del dispositivo.

Automatic enablement

Per i dispositivi client che eseguono Windows 11 versione 22H2 e successive, la protezione LSA aggiunta è abilitata per impostazione predefinita se vengono soddisfatti i criteri seguenti:

  • Il dispositivo è una nuova installazione di Windows 11 versione 22H2 o successiva, non aggiornata da una versione precedente.
  • Il dispositivo è associato all'azienda (unito al dominio di Active Directory, unito al dominio Microsoft Entra o unito a un dominio ibrido di Microsoft Entra).
  • Il dispositivo è in grado di garantire l'integrità del codice protetta dal hypervisor (HVCI).

L'abilitazione automatica della protezione LSA aggiunta in Windows 11 versione 22H2 e successive non imposta una variabile UEFI per la funzionalità. Se si vuole impostare una variabile UEFI, è possibile usare una configurazione o un criterio del Registro di sistema.

Abilitare la protezione LSA in un singolo computer

È possibile abilitare la protezione LSA in un singolo computer usando il Registro di sistema o i Criteri di gruppo locali.

Abilitare tramite il Registro di sistema

  1. Open the Registry Editor, or enter RegEdit.exe in the Run dialog, and then go to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry key.
  2. Open the RunAsPPL value, and edit its data:
    • To configure the feature with a UEFI variable, use a type of dword and a data value of 00000001.
    • To configure the feature without a UEFI variable, use a type of dword and a data value of 00000002. Questo valore viene applicato solo in Windows 11 build 22H2 e versioni successive.
  3. Riavviare il computer.

Abilitare tramite Criteri di gruppo locali in Windows 11 versione 22H2 e successive

  1. Open the Local Group Policy Editor by entering gpedit.msc in the Run dialog.
  2. Expand Computer Configuration>Administrative Templates>System>Local Security Authority.
  3. Aprire il criterio Configura LSASS per l'esecuzione come processo protetto.
  4. Set the policy to Enabled.
  5. Under Options, select one of the following options:
    • Per configurare la funzionalità con una variabile UEFI, selezionare Abilitato con blocco UEFI.
    • Per configurare la funzionalità senza una variabile UEFI, selezionare Abilitato senza blocco UEFI.
  6. Select OK.
  7. Riavviare il computer.

Abilitare la protezione LSA tramite Criteri di gruppo

  1. Open the Group Policy Management Console by entering gpmc.msc in the Run dialog or selecting Group Policy Management Console from the Start menu.
  2. Creare un nuovo GPO collegato al livello di dominio o collegato all'unità organizzativa contenente gli account dei computer. In alternativa, selezionare un oggetto GPO (Criteri di gruppo) già distribuito.
  3. Right-click the GPO, and then select Edit to open the Group Policy Management Editor.
  4. Expand Computer Configuration>Preferences>Windows Settings.
  5. Right-click Registry, point to New, and then select Registry Item. Verrà visualizzata la finestra di dialogo Nuove proprietà del Registro di sistema .
  6. Nella finestra di dialogo Nuove proprietà del Registro di sistema selezionare o immettere i valori seguenti:
    • For Hive, select HKEY_LOCAL_MACHINE.
    • For Key Path, select SYSTEM\CurrentControlSet\Control\Lsa.
    • For Value name, enter RunAsPPL.
    • For Value type, select REG_DWORD.
    • For Value data, enter one of the following values:
      • To enable LSA protection with a UEFI variable, enter 00000001.
      • To enable LSA protection without a UEFI variable, enter 00000002. Questa impostazione viene applicata solo a Windows 11 versione 22H2 e successive.
  7. Select OK.

Abilitare la protezione LSA creando un profilo di configurazione del dispositivo personalizzato

Per i dispositivi che eseguono Windows 11 versione 22H2 e successive, è possibile eseguire la procedura descritta nelle sezioni seguenti per abilitare e configurare la protezione LSA. Questa procedura usa l'interfaccia di amministrazione di Microsoft Intune per creare un profilo di configurazione del dispositivo personalizzato.

Creare un profilo

  1. In the Intune admin center, go to Devices>Windows>Configuration profiles, and then select Create profile.
  2. Nella schermata Crea un profilo selezionare le opzioni seguenti:
    • Under Platform, select Windows 10 and later.
    • Under Profile type, select Templates, and then select Custom.
  3. Select Create.
  4. On the Basics screen, enter a name and optional description for the profile, and then select Next.

Aggiungere le impostazioni di configurazione iniziali

  1. On the Configuration settings screen, select Add.
  2. On the Add row screen, enter the following information:
    • For Name, enter a name for the Open Mobile Alliance – Uniform Resource (OMA-URI) setting.
    • For OMA-URI, enter ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
    • For Data type, select Integer.
    • For Value, enter one of the following values:
      • To configure LSASS to run as a protected process with UEFI lock, enter 1.
      • To configure LSASS to run as a protected process without UEFI lock, enter 2.
  3. Select Save, and then select Next.

Completare la configurazione del profilo

  1. On the Assignments page, configure the assignments, and then select Next.
  2. On the Applicability Rules page, configure any applicability rules, and then select Next.
  3. Nella pagina Rivedi e crea, verificare la configurazione e poi selezionare Crea.
  4. Riavviare il computer.

Per altre informazioni su questo provider di servizi di configurazione dei criteri, vedere LocalSecurityAuthority - ConfigureLsaProtectedProcess.

Disabilitare la protezione LSA

È possibile disabilitare la protezione LSA tramite il Registro di sistema o tramite Criteri di gruppo locali. Se il dispositivo usa l'avvio protetto e si imposta la variabile UEFI di protezione LSA nel firmware, è possibile usare uno strumento per rimuovere la variabile UEFI.

Disabilitare usando il Registro di sistema

  1. Open the Registry Editor, or enter RegEdit.exe in the Run dialog, and then go to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry key.
  2. Open the RunAsPPL value, and set its data value to 00000000. Or delete the RunAsPPL value.
  3. Se la funzionalità PPL (Protected Process Light) è stata abilitata con una variabile UEFI, usare lo strumento di rifiuto esplicito del processo protetto dell'autorità di sicurezza locale per rimuovere la variabile UEFI.
  4. Riavviare il computer.

Disabilitare utilizzando i criteri locali su Windows 11 versione 22H2 e versioni successive

  1. Open the Local Group Policy Editor by entering gpedit.msc in the Run dialog.
  2. Expand Computer Configuration>Administrative Templates>System>Local Security Authority.
  3. Aprire il criterio Configura LSASS per l'esecuzione come processo protetto.
  4. Set the policy to Enabled.
  5. Under Options, select Disabled.
  6. Select OK.
  7. Riavviare il computer.

Note

If you set this policy to Not Configured and the policy was previously enabled, the prior setting doesn't get cleaned up and continues to be enforced. You must set the policy to Disabled under the Options dropdown to disable the feature.

Rimuovere la variabile UEFI di protezione LSA

È possibile usare lo strumento di opt-out del processo protetto dell'Autorità di Sicurezza Locale (LSA) dall'Area download Microsoft per eliminare la variabile UEFI se il dispositivo usa Secure Boot.

Note

The Download Center offers two files named LsaPplConfig.efi. Il file più piccolo è per i sistemi basati su x86 e il file più grande è per i sistemi basati su x64.

For more information about managing Secure Boot, see UEFI Firmware.

Caution

Quando l'avvio protetto è disattivato, vengono reimpostate tutte le configurazioni correlate a UEFI e avvio protetto. È consigliabile disattivare l'avvio protetto solo quando tutti gli altri mezzi per disabilitare la protezione LSA hanno esito negativo.

Verificare la protezione LSA

Per determinare se LSA viene avviato in modalità protetta all'avvio di Windows, seguire questa procedura:

  1. Aprire Visualizzatore eventi.
  2. Expand Windows Logs>System.
  3. Look for the following WinInit event: 12: LSASS.exe was started as a protected process with level: 4.

LSA e Credential Guard

La protezione LSA è una funzionalità di sicurezza che difende le informazioni sensibili, come le credenziali, dal furto, bloccando l'inserimento di codice LSA non attendibile e il dumping della memoria di processo. La protezione LSA viene eseguita in background isolando il processo LSA in un contenitore e impedendo ad altri processi, ad esempio utenti malintenzionati o app, di accedere alla funzionalità. Questo isolamento rende la protezione LSA una funzionalità di sicurezza essenziale, motivo per cui è abilitata per impostazione predefinita in Windows 11.

A partire da Windows 10, Credential Guard consente anche di evitare attacchi di furto di credenziali proteggendo gli hash delle password NTLM, i ticket di concessione ticket Kerberos (TGT) e le credenziali archiviate dalle applicazioni come credenziali di dominio. Kerberos, NTLM e Gestione credenziali isolano i segreti usando la sicurezza basata su virtualizzazione.Kerberos, NTLM e Credential Manager isolate secrets by using virtualization-based security (VBS).

Quando Credential Guard è abilitato, il processo LSA comunica con un componente denominato processo LSA isolato o LSAIso.exe, che archivia e protegge i segreti. I dati archiviati dal processo LSA isolato sono protetti tramite VBS e non sono accessibili al resto del sistema operativo. LSA utilizza chiamate di procedura remota per comunicare con il processo LSA isolato.

A partire da Windows 11 versione 22H2, vbs e Credential Guard sono abilitati per impostazione predefinita in tutti i dispositivi che soddisfano i requisiti di sistema. Credential Guard è supportato solo nei dispositivi di avvio protetto a 64 bit. La protezione LSA e Credential Guard sono complementari e i sistemi che supportano Credential Guard o lo abilitano per impostazione predefinita possono anche abilitare e trarre vantaggio dalla protezione LSA. Per ulteriori informazioni su Credential Guard, vedere la panoramica di Credential Guard .

More resources