Поделиться через

Настройка добавленной защиты LSA

В этой статье объясняется, как настроить добавленную защиту для процесса локального центра безопасности (LSA), чтобы предотвратить внедрение кода, которое может компрометировать учетные данные.

LSA, который включает в себя процесс службы сервера локального центра безопасности (LSASS), проверяет пользователей для локальных и удаленных входов и применяет локальные политики безопасности. В Windows 8.1 и более поздних версиях добавлена защита для LSA, чтобы предотвратить незащищенные процессы считывания памяти и внедрения кода. Эта функция обеспечивает дополнительную безопасность для учетных данных, которые хранятся и управляются LSA. При использовании единого расширяемого интерфейса встроенного ПО (UEFI) и безопасной загрузки можно добиться дополнительной защиты. Если эти параметры включены, отключение ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa не оказывает эффекта.

Требования к защищенному процессу для подключаемых модулей или драйверов

Для успешной загрузки подключаемого модуля или драйвера LSA в качестве защищенного процесса он должен соответствовать критериям в следующих двух разделах.

Проверка подписи

Защищенный режим требует, чтобы любой подключаемый модуль, загружаемый в LSA, имел цифровую подпись с подписью Microsoft. Все подключаемые модули, которые не подписаны или не подписаны с помощью подписи Майкрософт, не загружаются в LSA. Примерами плагинов являются драйверы смарт-карт, криптографические плагины и фильтры паролей.

  • LSA плагины, являющиеся драйверами, например, драйвера смарт-карт, должны быть подписаны с использованием сертификации Windows Hardware Quality Labs (WHQL). Дополнительные сведения см. в сигнатуре выпуска WHQL.
  • Подключаемые модули LSA, у которых нет процесса сертификации WHQL, должны быть подписаны с помощью службы подписи файлов для LSA.

Руководство по обеспечению соблюдения жизненного цикла разработки безопасности Майкрософт (SDL)

Используйте следующий список для тщательного тестирования включения защиты LSA перед развертыванием функции.

  • Определите все подключаемые модули И драйверы LSA, которые использует ваша организация. Включите драйверы, отличные от Майкрософт, или подключаемые модули, такие как драйверы смарт-карт и криптографические подключаемые модули, и любое внутренне разработанное программное обеспечение, которое используется для принудительного применения фильтров паролей или уведомлений об изменении пароля.
  • Убедитесь, что все подключаемые модули LSA имеют цифровую подпись, выданную сертификатом Microsoft, чтобы они загружались под защитой LSA без сбоев.
  • Убедитесь, что все правильно подписанные плагины успешно загружаются в LSA и работают должным образом.
  • Используйте журналы аудита для идентификации любых подключаемых модулей и драйверов LSA, которые не выполняются в качестве защищенного процесса.

Ограничения включения защиты LSA

Если добавлена защита LSA включена, вы не сможете выполнить отладку пользовательского подключаемого модуля LSA. Вы не можете подключить отладчик к LSASS, когда это защищенный процесс. Как правило, не поддерживается отладка выполняемого защищенного процесса.

Аудит модулей расширения и драйверов LSA, которые не загружаются в качестве защищенного процесса.

Прежде чем включить защиту LSA, используйте режим аудита для идентификации подключаемых модулей И драйверов LSA, которые не загружаются в защищенном режиме LSA. В режиме аудита система создает журналы событий, содержащие информацию о всех подключаемых модулях и драйверах, которые не удалось загрузить в LSA, если защита LSA включена. Сообщения регистрируются без фактической блокировки подключаемых модулей или драйверов.

События, описанные в этом разделе, записываются в средстве просмотра событий в журнале операций в разделе "Приложения и службы" журналы>Microsoft>Windows>CodeIntegrity. Эти события помогут определить подключаемые модули LSA и драйверы, которые не загружались из-за проблем с подпиской. Для управления этими событиями можно использовать средство командной строки wevtutil . Сведения об этом инструменте см. в разделе Wevtutil.

Это важно

События аудита не создаются, если Smart App Control включен на устройстве. Чтобы проверить или изменить состояние smart App Control, откройте приложение "Безопасность Windows" и перейдите на страницу управления приложением и браузером . Выберите параметры smart App Control, чтобы проверить, включен ли smart App Control. Если вы хотите проверить добавленную защиту LSA, измените конфигурацию на off.

Примечание.

Режим аудита для добавленной защиты LSA включен по умолчанию на устройствах под управлением Windows 11 версии 22H2 и более поздних версий. Если устройство выполняет эту сборку или более позднюю версию, для аудита добавленной защиты LSA не требуются другие действия.

Включение режима аудита для LSASS.exe на одном компьютере

  1. Откройте редактор реестра или введите RegEdit.exe в диалоговом окне 'Выполнить', а затем перейдите к разделу реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
  2. Откройте значение AuditLevel . Задайте тип данных dword и его значение данных 00000008.
  3. Перезапустите компьютер.

После выполнения этих действий найдите события со следующими идентификаторами: 3065 и 3066. Чтобы проверить наличие этих событий, откройте средство просмотра событий, а затем разверните журналы приложений и служб>Microsoft>Windows>CodeIntegrity>Operational.

  • Событие 3065 возникает, когда проверка целостности кода определяет, что процесс, обычно LSASS.exe, пытается загрузить драйвер, который не соответствует требованиям безопасности для общих разделов. Однако из-за установленной в настоящее время системной политики образ может загружаться.
  • Событие 3066 возникает, когда проверка целостности кода определяет, что процесс, обычно LSASS.exe, пытается загрузить драйвер, который не соответствует требованиям уровня подписи Майкрософт. Однако из-за установленной в настоящее время системной политики образ может загружаться.

Если подключаемый модуль или драйвер содержит общие разделы, событие 3066 регистрируется с событием 3065. Удаление общих разделов должно препятствовать возникновению обоих событий только в том случае, если подключаемый модуль не соответствует требованиям уровня подписи Microsoft.

Это важно

Эти операционные события не создаются, когда отладчик ядра подключен и включен в системе.

Включение режима аудита для LSASS.exe на нескольких компьютерах

Чтобы включить режим аудита для нескольких компьютеров в домене, можно использовать клиентское расширение реестра для групповой политики для развертывания значения реестра уровня аудита LSASS.exe. Необходимо изменить раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  1. Откройте консоль управления групповыми политиками, введя gpmc.msc в диалоговом окне "Запуск " или выбрав консоль управления групповыми политиками в меню "Пуск ".
  2. Создайте новый объект групповой политики (GPO), который связан на уровне домена или связан с организационным подразделением, содержащим учетные записи ваших компьютеров. Или выберите объект групповой политики, который уже развернут.
  3. Щелкните правой кнопкой мыши объект групповой политики и выберите пункт "Изменить ", чтобы открыть редактор управления групповыми политиками.
  4. Разверните Конфигурацию компьютера>Предпочтения>Параметры Windows.
  5. Щелкните правой кнопкой мыши реестр, выберите пункт "Создать" и выберите элемент реестра. Откроется диалоговое окно "Новые свойства реестра ".
  6. В диалоговом окне "Новые свойства реестра" выберите или введите следующие значения:
    • Для Hive выберите HKEY_LOCAL_MACHINE.
    • Для пути к ключу выберите SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
    • В поле "Имя значения" введите AuditLevel.
    • В поле Тип значения выберите REG_DWORD.
    • Для данных "Значение" введите 00000008.
  7. Нажмите ОК.

Примечание.

Чтобы объект групповой политики начал действовать, изменения групповой политики должны быть реплицированы на все контроллеры домена в домене.

Чтобы включить дополнительную защиту LSA на нескольких компьютерах, можно использовать клиентское расширение реестра для групповой политики для изменения HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Инструкции см. в разделе "Включить и настроить" добавленную защиту учетных данных LSA далее в этой статье.

Идентифицировать подключаемые модули и драйверы, которые LSASS.exe не удалось загрузить

Если включена защита LSA, система создает журналы событий, определяющие все подключаемые модули и драйверы, которые не загружались в LSA. После включения дополнительной защиты LSA можно использовать журнал событий для идентификации подключаемых модулей и драйверов LSA, которые не загружаются в режиме защиты LSA.

Проверьте наличие следующих событий в средстве просмотра событий, развернув журналы приложений и служб>Microsoft>Windows>CodeIntegrity>Operational:

  • Событие 3033 возникает, когда проверка целостности кода определяет, что процесс, обычно LSASS.exe, пытается загрузить драйвер, который не соответствует требованиям уровня подписи Майкрософт.
  • Событие 3063 возникает, когда проверка целостности кода определяет, что процесс, обычно LSASS.exe, пытается загрузить драйвер, который не соответствует требованиям безопасности для общих разделов.

Общие разделы обычно приводят к тому, что методы программирования позволяют данным экземпляра взаимодействовать с другими процессами, которые используют тот же контекст безопасности. Общие разделы могут создавать уязвимости безопасности.

Включение и настройка добавленной защиты учетных данных LSA

Вы можете настроить добавленную защиту LSA для устройств под управлением Windows 8.1 или более поздней версии или Windows Server 2012 R2 или более поздней версии с помощью процедур, описанных в этом разделе.

Устройства, использующие безопасную загрузку и UEFI

При включении защиты LSA на устройствах на базе x86 или x64, использующих безопасную загрузку или UEFI, можно хранить переменную UEFI во встраиваемом ПО UEFI с помощью ключа реестра или политики. Если включена блокировка UEFI, LSASS выполняется как защищенный процесс, и этот параметр хранится в переменной UEFI в встроенном ПО.

Если параметр хранится в встроенном ПО, переменная UEFI не может быть удалена или изменена, чтобы настроить добавленную защиту LSA, изменив реестр или политику. Переменная UEFI должна быть сброшена с помощью инструкций в разделе "Удалите переменную UEFI для защиты LSA".

Если этот параметр включен без блокировки UEFI, LSASS выполняется как защищенный процесс, и этот параметр не хранится в переменной UEFI. Этот параметр применяется по умолчанию на устройствах с новой установкой Windows 11 версии 22H2 или более поздней.

На устройствах на основе x86 или x64, которые не поддерживают UEFI или где отключена безопасная загрузка, вы не можете сохранить конфигурацию для защиты LSA в встроенном ПО. Эти устройства полагаются исключительно на наличие ключа реестра. В этом сценарии можно отключить защиту LSA с помощью удаленного доступа к устройству. Отключение защиты LSA не вступило в силу до перезагрузки устройства.

Автоматическое включение

Для клиентских устройств под управлением Windows 11 версии 22H2 и более поздних версий добавлена защита LSA по умолчанию, если выполнены следующие критерии:

  • Устройство — это новая установка Windows 11 версии 22H2 или более поздней версии, а не обновленное с предыдущего выпуска.
  • Устройство присоединено к организации (присоединено к домену Active Directory, присоединено к домену Microsoft Entra или присоединено к гибридному домену Microsoft Entra).
  • Устройство может обеспечить целостность кода, защищенного гипервизором (HVCI).

Автоматическое включение добавленной защиты LSA в Windows 11 версии 22H2 и более поздних версий не задает переменную UEFI для этой функции. Если вы хотите задать переменную UEFI, можно использовать конфигурацию реестра или политику.

Включение защиты LSA на одном компьютере

Вы можете включить защиту LSA на одном компьютере с помощью реестра или с помощью локальной групповой политики.

Включение через реестр

  1. Откройте редактор реестра или введите RegEdit.exe в диалоговом окне "Запуск", а затем перейдите к разделу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  2. Откройте значение RunAsPPL и измените его данные:
    • Чтобы настроить функцию с переменной UEFI, используйте тип dword и значение данных 00000001.
    • Чтобы настроить функцию без переменной UEFI, используйте тип dword и значение данных 00000002. Это значение применяется только в Windows 11 сборки 22H2 и более поздних версий.
  3. Перезапустите компьютер.

Включение с помощью локальной групповой политики в Windows 11 версии 22H2 и более поздних версий

  1. Откройте редактор локальной групповой политики, введя gpedit.msc в окно 'Выполнить'.
  2. Разверните Конфигурация компьютера>Административные шаблоны>Система>Локальный орган безопасности.
  3. Откройте политику настройки LSASS для его запуска как защищенного процесса.
  4. Задайте для политики значение "Включено".
  5. В разделе "Параметры" выберите один из следующих параметров:
    • Чтобы настроить функцию с переменной UEFI, выберите "Включено" с блокировкой UEFI.
    • Чтобы настроить функцию без переменной UEFI, выберите "Включено" без блокировки UEFI.
  6. Нажмите ОК.
  7. Перезапустите компьютер.

Включение защиты LSA с помощью групповой политики

  1. Откройте консоль управления групповыми политиками, введя gpmc.msc в диалоговом окне "Запуск " или выбрав консоль управления групповыми политиками в меню "Пуск ".
  2. Создайте новый объект групповой политики, связанный на уровне домена или связанный с организационной единицей, содержащей учетные записи компьютеров. Или выберите объект групповой политики, который уже развернут.
  3. Щелкните правой кнопкой мыши объект групповой политики и выберите пункт "Изменить ", чтобы открыть редактор управления групповыми политиками.
  4. Развернитепараметры конфигурации>>компьютераWindows.
  5. Щелкните правой кнопкой мыши реестр, выберите пункт "Создать" и выберите элемент реестра. Откроется диалоговое окно "Новые свойства реестра ".
  6. В диалоговом окне "Новые свойства реестра" выберите или введите следующие значения:
    • Для Hive выберите HKEY_LOCAL_MACHINE.
    • Для пути к ключу выберите SYSTEM\CurrentControlSet\Control\Lsa.
    • В поле "Имя значения" введите RunAsPPL.
    • В поле Тип значения выберите REG_DWORD.
    • Для значений данных введите одно из следующих значений:
      • Чтобы включить защиту LSA с переменной UEFI, введите 00000001.
      • Чтобы включить защиту LSA без переменной UEFI, введите 00000002. Этот параметр применяется только в Windows 11 версии 22H2 и более поздних версиях.
  7. Нажмите ОК.

Включение защиты LSA путем создания пользовательского профиля конфигурации устройства

Для устройств под управлением Windows 11 версии 22H2 и более поздних версий можно выполнить действия, описанные в следующих разделах, чтобы включить и настроить защиту LSA. Эта процедура использует Центр администрирования Microsoft Intune для создания пользовательского профиля конфигурации устройства.

Создание профиля

  1. В Центре администрирования Intune перейдите к Устройствам>Windows>профилям конфигурации, и выберите Создать профиль.
  2. На экране "Создание профиля" выберите следующие параметры:
    • В поле Платформа выберите Windows 10 и более поздних версий.
    • В разделе "Тип профиля" выберите "Шаблоны" и выберите "Настраиваемый".
  3. Выберите Создать.
  4. На экране "Основные сведения" введите имя и необязательное описание профиля, а затем нажмите кнопку "Далее".

Добавление начальных параметров конфигурации

  1. На экране параметров конфигурации нажмите кнопку "Добавить".
  2. На экране "Добавить строку " введите следующие сведения:
    • В поле "Имя" введите имя параметра Open Mobile Alliance — универсальный ресурс (OMA-URI) .
    • Для OMA-URI введите ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
    • Для типа данных выберите целое число.
    • В поле Value введите одно из следующих значений:
      • Чтобы настроить LSASS для запуска в качестве защищенного процесса с блокировкой UEFI, введите 1.
      • Чтобы настроить LSASS для запуска в качестве защищенного процесса без блокировки UEFI, введите 2.
  3. Нажмите кнопку "Сохранить" и нажмите кнопку "Далее".

Завершение настройки профиля

  1. На странице "Назначения" настройте назначения и нажмите кнопку "Далее".
  2. На странице "Правила применимости " настройте все правила применимости и нажмите кнопку "Далее".
  3. На странице "Проверка и создание " проверьте конфигурацию и нажмите кнопку "Создать".
  4. Перезапустите компьютер.

Дополнительные сведения об этом поставщике служб конфигурации политики (CSP) см. в разделе LocalSecurityAuthority — ConfigureLsaProtectedProcess.

Отключение защиты LSA

Защиту LSA можно отключить с помощью реестра или с помощью локальной групповой политики. Если устройство использует безопасную загрузку и вы установили переменную UEFI для защиты LSA в прошивке, можно использовать средство для удаления этой переменной UEFI.

Отключите с помощью реестра

  1. Откройте редактор реестра или введите RegEdit.exe в диалоговом окне «Выполнить», а затем перейдите к разделу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  2. Откройте значение RunAsPPL и задайте для нее значение 00000000. Или удалите значение RunAsPPL .
  3. Если функция защищенного процесса (PPL) была включена с помощью переменной UEFI, используйте средство отказа от защиты процесса локального органа безопасности для удаления переменной UEFI.
  4. Перезапустите компьютер.

Отключение с помощью локальной политики в Windows 11 версии 22H2 и более поздних версий

  1. Откройте редактор локальной групповой политики, введя gpedit.msc в диалоговом окне выполнения .
  2. Разверните Конфигурацию компьютера>Административные шаблоны>Системы>Локальный центр безопасности.
  3. Откройте службу Настройки LSASS для запуска в качестве защищенной политики процесса .
  4. Задайте для политики значение "Включено".
  5. В разделе "Параметры" выберите "Отключено".
  6. Нажмите ОК.
  7. Перезапустите компьютер.

Примечание.

Если вы установите для этой политики значение Не настроено и политика была включена ранее, то предыдущая настройка не сбрасывается и продолжает применяться. Чтобы отключить эту функцию, необходимо задать для политики значение "Отключено" в раскрывающемся списке "Параметры ".

Удаление переменной UEFI защиты LSA

Можно использовать средство отказа от защищенного процесса Local Security Authority (LSA) из Центра загрузки Майкрософт для удаления переменной UEFI, если на устройстве включена функция Secure Boot.

Примечание.

Центр загрузки предлагает два файла с именем LsaPplConfig.efi. Меньший файл предназначен для систем на основе x86, а более крупный файл предназначен для систем на основе x64.

Дополнительные сведения об управлении безопасной загрузкой см. в статье UEFI Firmware.

Осторожность

При отключении режима безопасной загрузки все конфигурации, связанные с безопасной загрузкой и UEFI, сбрасываются. Вы должны отключить безопасную загрузку только в том случае, если все другие средства отключения защиты LSA оказываются безуспешными.

Проверка защиты LSA

Чтобы определить, запускается ли LSA в защищенном режиме при запуске Windows, выполните следующие действия.

  1. Откройте окно просмотра событий.
  2. Разверните журналы Windows>Система.
  3. Найдите следующее событие WinInit : 12: LSASS.exe был запущен как защищенный процесс с уровнем 4.

LSA и Credential Guard

Защита LSA — это функция безопасности, которая защищает конфиденциальные данные, такие как учетные данные от кражи, блокируя ненадежное внедрение кода LSA и дамп памяти обработки. Защита LSA выполняется в фоновом режиме, изолируя процесс LSA в контейнере и предотвращая другие процессы, такие как вредоносные субъекты или приложения, от доступа к этой функции. Эта изоляция делает защиту LSA жизненно важной функцией безопасности, поэтому она включена по умолчанию в Windows 11.

Начиная с Windows 10, Credential Guard также помогает предотвращать атаки на кражу учётных данных, защищая хэши паролей NTLM, билеты Kerberos для выдачи билетов (TGTs) и учетные данные, сохраняемые приложениями в качестве учетных данных домена. Kerberos, NTLM и Credential Manager изолируют секреты с помощью безопасности на основе виртуализации (VBS).

При включении Credential Guard процесс LSA взаимодействует с компонентом, который называется изолированным процессом LSA или LSAIso.exe, который хранит и защищает секреты. Данные, хранящиеся изолированным процессом LSA, защищены с помощью VBS и недоступны для остальной части операционной системы. LSA использует удаленные вызовы процедур для взаимодействия с изолированным процессом LSA.

Начиная с Windows 11 версии 22H2, VBS и Credential Guard по умолчанию включены на всех устройствах, которые соответствуют требованиям к системе. Credential Guard поддерживается только на 64-разрядных устройствах безопасной загрузки. Защита LSA и Credential Guard являются взаимодополняющими, а системы, поддерживающие Credential Guard или в которых он включен по умолчанию, могут также включить и воспользоваться защитой LSA. Дополнительные сведения о Credential Guard см. в обзоре Credential Guard.

Дополнительные ресурсы