Konfigurieren von zusätzlichem LSA-Schutz

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Artikel für den IT-Experten wird erläutert, wie Sie zusätzlichen Schutz für den LSA-Prozess (Local Security Authority) konfigurieren, um die Codeinjektion zu verhindern, die Anmeldeinformationen kompromittieren könnte.

Mithilfe der lokalen Sicherheitsautorität, die auch den LSASS-Prozess (Local Security Authority Subsystem Service, Subsystemdienst für die lokale Sicherheitsautorität) umfasst, werden Benutzer für die lokale Anmeldung und Remoteanmeldung überprüft und lokale Sicherheitsrichtlinien erzwungen. Das Windows 8.1 Betriebssystem und später bietet zusätzlichen Schutz für die LSA, um den Lesespeicher und die Codeeinfügung durch nicht geschützte Prozesse zu verhindern. Dieses Feature bietet zusätzliche Sicherheit für die Anmeldeinformationen, die LSA speichert und verwaltet. Die Einstellung für den geschützten Prozess für LSA kann in Windows 8.1 und höher konfiguriert werden. Wenn diese Einstellung mit der UEFI-Sperre und dem sicheren Start verwendet wird, wird zusätzlicher Schutz erreicht, da das Deaktivieren des HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Registrierungsschlüssels keine Auswirkung hat.

Anforderungen an den geschützten Prozess für Plug-Ins oder Treiber

Damit ein LSA-Plug-In oder -Treiber erfolgreich als geschützter Prozess geladen werden kann, muss er die folgenden Kriterien erfüllen:

  1. Signaturüberprüfung

    Der geschützte Modus erfordert, dass alle Plug-Ins, die in die lokale Sicherheitsautorität geladen werden, mit einer Microsoft-Signatur digital signiert werden. Daher können alle Plug-Ins, die nicht signiert sind oder nicht mit einer Microsoft-Signatur signiert sind, nicht in LSA geladen werden. Beispiele für diese Plug-Ins sind Smartcard-Treiber, kryptografische Plug-Ins und Kennwortfilter.

    LSA-Plug-Ins, bei denen es sich um Treiber handelt, z. B. Smartcard-Treiber, müssen mithilfe der WHQL-Zertifizierung signiert werden. Weitere Informationen finden Sie unter WHQL Release Signature.

    LSA-Plug-Ins, die keinen WHQL-Zertifizierungsprozess haben, müssen mit dem Dateisignaturdienst für LSA signiert werden.

  2. Anleitung zur Einhaltung des Microsoft Security Development Lifecycle (SDL)-Prozesses

    Alle Plug-Ins müssen die Vorgaben zur Einhaltung des jeweiligen SDL-Prozesses erfüllen. Weitere Informationen finden Sie unter Microsoft Security Development Lifecycle (SDL) – Anhang.

    Auch wenn die Plug-Ins ordnungsgemäß mit einer Microsoft-Signatur signiert sind, kann eine Nichteinhaltung des SDL-Prozesses beim Laden eines Plug-Ins zu einem Fehler führen.

Nutzen Sie die folgende Liste, um eingehend zu testen, ob der LSA-Schutz aktiviert ist, bevor Sie das Feature allgemein bereitstellen:

  • Identifizieren Sie alle LSA-Plug-Ins und -Treiber, die in Ihrer Organisation verwendet werden. Schließen Sie Nicht-Microsoft-Treiber oder Plug-Ins wie Smartcardtreiber und kryptografische Plug-Ins sowie alle intern entwickelten Software ein, die zum Erzwingen von Kennwortfiltern oder Kennwortänderungsbenachrichtigungen verwendet wird.
  • Stellen Sie sicher, dass alle LSA-Plug-Ins digital mit einem Microsoft-Zertifikat signiert sind, sodass das Plug-In nicht geladen werden kann.
  • Stellen Sie sicher, dass alle ordnungsgemäß signierten Plug-Ins erfolgreich in die lokale Sicherheitsautorität geladen werden können und dass sie sich wie erwartet verhalten.
  • Verwenden Sie die Überwachungsprotokolle zum Identifizieren von LSA-Plug-Ins und -Treibern, die nicht als geschützter Prozess ausgeführt werden können.

Einschränkungen, die mit aktivierten LSA-Schutz eingeführt wurden

Wenn zusätzlicher LSA-Schutz aktiviert ist, können Sie kein benutzerdefiniertes LSA-Plug-In debuggen. Sie können einen Debugger nicht an LSASS anfügen, wenn es sich um einen geschützten Prozess bezieht. Im Allgemeinen gibt es keine unterstützte Möglichkeit zum Debuggen eines ausgeführten geschützten Prozesses.

Überwachung zum Identifizieren von LSA-Plug-Ins und Treibern, die nicht als geschützter Prozess ausgeführt werden

Mithilfe des Überwachungsmodus können Sie LSA-Plug-Ins und -Treiber identifizieren, die im LSA-Schutzmodus nicht geladen werden können. Im Überwachungsmodus werden vom System Ereignisprotokolle generiert und alle Plug-Ins und Treiber identifiziert, die unter der lokalen Sicherheitsautorität nicht geladen werden können, wenn der LSA-Schutz aktiviert ist. Die Meldungen werden protokolliert, ohne die Plug-Ins oder Treiber zu blockieren.

Die in diesem Abschnitt beschriebenen Ereignisse sind im Betriebsprotokoll unter %%amp;quot;Anwendungs- und Dienstprotokolle\Microsoft\Windows\CodeIntegrity%%amp;quot; enthalten. Sie stellen eine Hilfe beim Identifizieren von LSA-Plug-Ins und -Treibern dar, die aufgrund von Signaturproblemen nicht geladen werden können. Zum Verwalten dieser Ereignisse können Sie das Befehlszeilentool wevtutil verwenden. Informationen zu diesem Befehl finden Sie unter Wevtutil.

Wichtig

Überwachungsereignisse werden nicht generiert, wenn Smart App Control auf einem Gerät aktiviert ist. Um den Aktivierungsstatus von Smart App Control zu überprüfen oder zu ändern, öffnen Sie die Windows-Sicherheit Anwendung, und wechseln Sie zur App-Browser-Steuerelementseite&. Aktivieren Sie den Link "Smart App Control-Einstellungen", um den Aktivierungszustand zu überprüfen und die Konfiguration in "Aus" zu ändern, wenn Sie versuchen, zusätzlicheN LSA-Schutz zu überwachen.

Automatische Aktivierung des Überwachungsmodus

Der Überwachungsmodus für zusätzliche LSA-Schutz ist standardmäßig auf Geräten aktiviert, auf denen Windows 11, 22H2 ausgeführt wird. Wenn Ihr Gerät diesen Build ausführt, sind keine zusätzlichen Aktionen erforderlich, um zusätzliche LSA-Schutz zu überwachen.

Aktivieren des Überwachungsmodus für Lsass.exe auf einem einzelnen Computer durch Bearbeiten der Registrierung

  1. Öffnen Sie den Registrierungs-Editor (RegEdit.exe), und navigieren Sie zum Registrierungsschlüssel unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  2. Legen Sie den Wert des Registrierungsschlüssels auf AuditLevel=dword:00000008 fest.

  3. Starten Sie den Computer neu.

Analysieren Sie die Ergebnisse von Ereignis 3065 und Ereignis 3066.

Nach diesen Schritten werden diese Ereignisse möglicherweise in Ereignisanzeige in Anwendungs- und Dienstprotokollen/Microsoft/Windows/CodeIntegrity angezeigt:

  • Ereignis 3065: Mit diesem Ereignis wird aufgezeichnet, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise %%amp;quot;lsass.exe%%amp;quot;) einen bestimmten Treiber zu laden versucht hat, der die Sicherheitsanforderungen für freigegebene Abschnitte nicht erfüllt. Aufgrund der festgelegten Systemrichtlinie wurde das Laden des Images jedoch zugelassen.

  • Ereignis 3066: Mit diesem Ereignis wird aufgezeichnet, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise %%amp;quot;lsass.exe%%amp;quot;) einen bestimmten Treiber zu laden versucht hat, der die Anforderungen an die Microsoft-Signaturebene nicht erfüllt. Aufgrund der festgelegten Systemrichtlinie wurde das Laden des Images jedoch zugelassen.

Wichtig

Diese Betriebsereignisse werden nicht generiert, wenn auf einem System ein Kerneldebugger angefügt und aktiviert ist.

Wenn ein Plug-In oder Treiber freigegebene Abschnitte enthält, wird Ereignis 3066 zusammen mit dem Ereignis 3065 protokolliert. Durch das Entfernen der freigegebenen Abschnitte sollte verhindert werden, dass diese beiden Ereignisse eintreten, es sei denn, das Plug-In erfüllt die Anforderungen an die Microsoft-Signaturebene nicht.

Zum Aktivieren des Überwachungsmodus für mehrere Computer in einer Domäne können Sie die clientseitige Registrierungserweiterung für die Gruppenrichtlinie verwenden, um den Überwachungsebenen-Registrierungswert für %%amp;quot;Lsass.exe%%amp;quot; bereitzustellen. Sie müssen den Registrierungsschlüssel %%amp;quot;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe%%amp;quot; ändern.

So erstellen Sie die Einstellung "AuditLevel-Wert" in einem Gruppenrichtlinienobjekt

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).

  2. Erstellen Sie ein neues Gruppenrichtlinienobjekt (Group Policy Object, GPO), das auf der Domänenebene verknüpft ist oder das mit der Organisationseinheit verknüpft ist, die Ihre Computerkonten enthält. Alternativ dazu können Sie ein GPO auswählen, das schon bereitgestellt wurde.

  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und wählen Sie dann "Bearbeiten" aus, um den Gruppenrichtlinie Verwaltungs-Editor zu öffnen.

  4. Erweitern Sie nacheinander Computerkonfiguration, Einstellungen und dann Windows-Einstellungen.

  5. Klicken Sie mit der rechten Maustaste auf "Registrierung", zeigen Sie auf "Neu", und wählen Sie dann " Registrierungselement" aus. Das Dialogfeld Neue Registrierungseigenschaften wird angezeigt.

  6. Wählen Sie in der Liste " Struktur " HKEY_LOCAL_MACHINE aus.

  7. Navigieren Sie in der Liste Schlüsselpfad zu SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  8. Geben Sie im Feld Wertname den Text AuditLevel ein.

  9. Wählen Sie im Feld "Werttyp " REG_DWORD aus.

  10. Geben Sie im Feld Wert den Wert 00000008 ein.

  11. Klicken Sie auf OK.

Hinweis

Damit das GPO wirksam wird, muss die GPO-Änderung auf alle Domänencontroller der Domäne repliziert werden.

Um sich für zusätzlichen LSA-Schutz auf mehreren Computern zu entscheiden, können Sie die Registrierungs Client-Side erweiterung für Gruppenrichtlinie verwenden, indem Sie HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ändern. Anweisungen finden Sie unter Konfigurieren zusätzlicher LSA-Schutz von Anmeldeinformationen in diesem Artikel.

Nach der Aktivierung: Identifizieren von Plug-Ins und Treibern, die von "lsass.exe" geladen werden

Sie können das Ereignisprotokoll verwenden, um LSA-Plug-Ins und Treiber zu identifizieren, die im LSA-Schutzmodus nicht geladen wurden. Wenn der per LSA geschützte Prozess aktiviert ist, werden vom System Ereignisprotokolle generiert. Damit können alle Plug-Ins und Treiber identifiziert werden, die im LSA-Modus nicht geladen werden konnten.

Möglicherweise werden diese Ereignisse in Ereignisanzeige angezeigt: Microsoft-Windows-Codeintegrity/Operational:

  • Ereignis 3033: Mit diesem Ereignis wird aufgezeichnet, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise %%amp;quot;lsass.exe%%amp;quot;) einen Treiber zu laden versucht hat, der die Anforderungen an die Microsoft-Signaturebene nicht erfüllt.

  • Ereignis 3063: Mit diesem Ereignis wird aufgezeichnet, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise %%amp;quot;lsass.exe%%amp;quot;) einen Treiber zu laden versucht hat, der die Sicherheitsanforderungen für freigegebene Abschnitte nicht erfüllt.

Freigegebene Abschnitte sind in der Regel das Ergebnis von Programmiertechniken, bei denen Instanzdaten mit anderen Prozessen interagieren können, für die der gleiche Sicherheitskontext verwendet wird. Dies kann zu Sicherheitsrisiken führen.

Konfigurieren des zusätzlichen LSA-Schutzes für Anmeldeinformationen

Auf Geräten, auf denen Windows 8.1 oder höher ausgeführt wird, ist die Konfiguration möglich, indem die in diesem Abschnitt beschriebenen Verfahren ausgeführt werden.

Auf x86-basierten oder x64-basierten Geräten mit oder ohne %%amp;quot;Sicherer Start%%amp;quot; und UEFI

Auf x86-basierten oder x64-basierten Geräten, die secure Boot oder UEFI verwenden, kann eine UEFI-Variable in der UEFI-Firmware festgelegt werden, wenn der LSA-Schutz mithilfe des Registrierungsschlüssels oder der Richtlinie aktiviert ist. Wenn die Einstellung in der Firmware gespeichert ist, kann die UEFI-Variable nicht gelöscht oder geändert werden, indem Sie die Registrierung oder die Richtlinie ändern, die zum Aktivieren zusätzlicher LSA-Schutz verwendet wird. Die UEFI-Variable muss mithilfe der nachstehenden Anweisungen zum Deaktivieren des LSA-Schutzes zurückgesetzt werden.

x86-basierte oder x64-basierte Geräte, die UEFI nicht unterstützen oder wo sicherer Start deaktiviert ist, können die Konfiguration für LSA-Schutz nicht in der Firmware speichern. Diese Geräte basieren ausschließlich auf der Anwesenheit des Registrierungsschlüssels. In diesem Szenario ist es möglich, den LSA-Schutz mithilfe des Remotezugriffs auf das Gerät zu deaktivieren. Die Deaktivierung des LSA-Schutzes wird erst wirksam, wenn das Gerät neu gestartet wird.

Automatische Aktivierung

Für Geräte, die Windows RT 8.1 ausgeführt werden, ist der zusätzliche LSA-Schutz immer aktiviert und kann nicht deaktiviert werden.

Für Clientgeräte, die Windows 11, 22H2 ausgeführt werden, werden standardmäßig zusätzliche LSA-Schutz aktiviert, wenn die folgenden Kriterien erfüllt sind:

  • Das Gerät ist eine neue Installation von Windows 11, 22H2 (nicht vom vorherigen Release aktualisiert).
  • Das Gerät ist mit dem Unternehmen verbunden (active Directory-Domäne ist beigetreten, Azure AD-Domäne beigetreten oder hybride Azure AD-Domäne eingebunden).
  • Das Gerät ist in der Lage, die Hypervisor-geschützte Codeintegrität (HVCI) zu erhalten.

Automatische Aktivierung zusätzlicher LSA-Schutz auf Windows 11, 22H2 legt keine UEFI-Variable für das Feature fest. Wenn Sie eine UEFI-Variable festlegen möchten, können Sie eine Registrierungskonfiguration oder -richtlinie verwenden.

So aktivieren Sie den LSA-Schutz auf einem einzelnen Computer

Verwenden der Registrierung

  1. Öffnen Sie den Registrierungs-Editor (RegEdit.exe), und navigieren Sie zum Registrierungsschlüssel unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  2. Legen Sie den Wert des Registrierungsschlüssels wie folgt fest:

    1. "RunAsPPL"=dword:00000001 zum Konfigurieren des Features mit einer UEFI-Variable.
    2. "RunAsPPL"=dword:00000002 zum Konfigurieren des Features ohne UEFI-Variable (nur auf Windows 11, 22H2).
  3. Starten Sie den Computer neu.

Verwenden von lokalen Gruppenrichtlinie auf Windows 11, 22H2

  1. Öffnen des lokalen Gruppenrichtlinie-Editors (gpedit.msc)

  2. Erweitern Sie die Computerkonfiguration, erweitern Sie administrative Vorlagen, erweitern Sie System, und erweitern Sie dann die lokale Sicherheitsbehörde.

  3. Öffnen Sie das Konfigurieren von LSASS, um als geschützte Prozessrichtlinie auszuführen .

  4. Legen Sie die Richtlinie auf "Aktiviert" fest.

  5. Legen Sie unter "Optionen" die LSA so fest, dass sie als geschützter Prozess ausgeführt werden soll:

    1. "Aktiviert mit UEFI Lock", um das Feature mit einer UEFI-Variable zu konfigurieren.
    2. "Aktiviert ohne UEFI-Sperre", um das Feature ohne UEFI-Variable zu konfigurieren.
  6. Starten Sie den Computer neu.

So aktivieren Sie den LSA-Schutz mithilfe von Gruppenrichtlinie

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).

  2. Erstellen Sie ein neues Gruppenrichtlinienobjekt, das auf der Domänenebene verknüpft ist oder das mit der Organisationseinheit verknüpft ist, die Ihre Computerkonten enthält. Alternativ dazu können Sie ein GPO auswählen, das schon bereitgestellt wurde.

  3. Klicken Sie mit der rechten Maustaste auf das GPO, und wählen Sie dann "Bearbeiten" aus, um den Gruppenrichtlinie Verwaltungs-Editor zu öffnen.

  4. Erweitern Sie nacheinander Computerkonfiguration, Einstellungen und dann Windows-Einstellungen.

  5. Klicken Sie mit der rechten Maustaste auf "Registrierung", zeigen Sie auf "Neu", und wählen Sie dann " Registrierungselement" aus. Das Dialogfeld Neue Registrierungseigenschaften wird angezeigt.

  6. Wählen Sie in der Liste "Hive" HKEY_LOCAL_MACHINE aus.

  7. Navigieren Sie in der Liste Schlüsselpfad zu SYSTEM\CurrentControlSet\Control\Lsa.

  8. Geben Sie im Feld Wertname Folgendes ein: RunAsPPL.

  9. Wählen Sie im Feld "Wert"REG_DWORD aus.

  10. Geben Sie im Feld "Wert" Folgendes ein:

    1. 00000001 , um den LSA-Schutz mit einer UEFI-Variable zu aktivieren.
    2. 00000002, um den LSA-Schutz ohne UEFI-Variable zu aktivieren (nur auf Windows 11, 22H2 erzwungen).
  11. Klicken Sie auf OK.

So deaktivieren Sie den LSA-Schutz

So deaktivieren Sie die Verwendung der Registrierung

  1. Öffnen Sie den Registrierungs-Editor (RegEdit.exe), und navigieren Sie zum Registrierungsschlüssel unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  2. Legen Sie "RunAsPPL"=dword:000000000 fest, oder löschen Sie das DWORD.

  3. Wenn PPL mit einer UEFI-Variable aktiviert wurde, verwenden Sie das Tool "Local Security Authority Protected Process Opt-out ", um die UEFI-Variable zu entfernen.

  4. Starten Sie den Computer neu.

So deaktivieren Sie die Verwendung der lokalen Richtlinie auf Windows 11, 22H2

Öffnen des lokalen Gruppenrichtlinie-Editors (gpedit.msc)

  1. Erweitern Sie die Computerkonfiguration, erweitern Sie administrative Vorlagen, erweitern Sie System, und erweitern Sie dann die lokale Sicherheitsbehörde.

  2. Öffnen Sie das Konfigurieren von LSASS, um als geschützte Prozessrichtlinie auszuführen .

  3. Legen Sie die Richtlinie auf "Aktiviert" fest.

  4. Legen Sie unter "Optionen" LSA auf "Deaktiviert" fest.

  5. Starten Sie den Computer neu.

Wenn Sie diese Richtlinie auf "Nicht konfiguriert " festlegen und die Richtlinie zuvor aktiviert wurde, wird die vorherige Einstellung nicht gelöscht und wird weiterhin erzwungen. Sie müssen die Richtlinie unter " Konfigurieren von LSA" so festlegen, dass sie als geschütztes Prozess-Dropdown ausgeführt wird, um das Feature zu deaktivieren.

So entfernen Sie die LSA-Schutz-UEFI-Variable

Verwenden Sie das Tool zum Deaktivieren des geschützten LSA-Prozesses (Local Security Authority (LSA) Protected Process Opt-out), um die UEFI-Variable zu löschen, wenn für das Gerät "Sicherer Start" genutzt wird.

Weitere Informationen zu diesem Tool finden Sie auf der Seite zum Download von Local Security Authority (LSA) Protected Process Opt-out im offiziellen Microsoft Download Center.

Weitere Informationen zum Verwalten von "Sicherer Start" finden Sie unter UEFI-Firmware.

Warnung

Wenn %%amp;quot;Sicherer Start%%amp;quot; deaktiviert ist, werden alle auf %%amp;quot;Sicherer Start%%amp;quot; und UEFI bezogenen Konfigurationen zurückgesetzt. Sie sollten %%amp;quot;Sicherer Start%%amp;quot; nur deaktivieren, wenn alle anderen Mittel zum Deaktivieren des LSA-Schutzes nicht zum Erfolg führen.

Überprüfen des LSA-Schutzes

Wenn Sie ermitteln möchten, ob LSA beim Starten von Windows im geschützten Modus gestartet wurde, können Sie im Protokoll System unter Windows-Protokolle nach dem folgenden WinInit-Ereignis suchen:

  • 12: "LSASS.exe" wurde als geschützter Prozess mit folgender Stufe gestartet: 4

Zusätzliche Ressourcen

Schutz und Verwaltung von Anmeldeinformationen

Dateisignierdiensts für LSA