Compartir a través de

Configuración de protección adicional para LSA

En este artículo se explica cómo configurar la protección agregada para el proceso de la Autoridad de seguridad local (LSA) para evitar la inyección de código que puede poner en peligro las credenciales.

El LSA, que incluye el proceso del Servicio de Servidor de la Autoridad de Seguridad Local (LSASS), valida a los usuarios para inicios de sesión locales y remotos y aplica políticas de seguridad locales. En Windows 8.1 y versiones posteriores, se proporciona protección adicional para LSA para evitar que los procesos no protegidos lean la memoria e inserten código. Esta característica proporciona seguridad agregada para las credenciales que LSA almacena y administra. Puede lograr una mayor protección al usar el bloqueo de la Interfaz de Firmware Extensible Unificada (UEFI) y el Arranque Seguro. Cuando esta configuración está habilitada, deshabilitar la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa no tiene ningún efecto.

Requisitos de proceso protegidos para complementos o controladores

Para que un complemento o controlador de LSA se cargue correctamente como un proceso protegido, debe cumplir los criterios de las dos secciones siguientes.

Comprobación de firmas

El modo protegido requiere que cualquier complemento que se cargue en la LSA se firme digitalmente con una firma de Microsoft. Los complementos que no estén firmados o que no tengan una firma de Microsoft no se cargan en LSA. Algunos ejemplos de complementos son controladores de tarjetas inteligentes, complementos criptográficos y filtros de contraseña.

  • Los complementos LSA que son controladores, como los controladores de tarjetas inteligentes, deben estar firmados mediante la certificación Windows Hardware Quality Labs (WHQL). Para obtener más información, consulte Firma de lanzamiento WHQL.
  • Los complementos de LSA que no tienen un proceso de certificación WHQL deben estar firmados mediante el servicio de firma de archivos para LSA.

Cumplimiento de las instrucciones del proceso del ciclo de vida de desarrollo de seguridad (SDL) de Microsoft

  • Todos los complementos deben cumplir las instrucciones de proceso de SDL aplicables. Para obtener más información, consulte Ciclo de vida de desarrollo de seguridad de Microsoft (SDL): guía de procesos.
  • Incluso si los complementos están firmados correctamente con una firma de Microsoft, la no conformidad con el proceso de SDL puede dar lugar a un error al cargar un complemento.

Use la lista siguiente para probar exhaustivamente la habilitación de la protección LSA antes de implementar ampliamente la característica:

  • Identifique todos los complementos y controladores de LSA que usa su organización. Incluya controladores o complementos que no sean de Microsoft, como controladores de tarjetas inteligentes y complementos criptográficos, y cualquier software desarrollado internamente que se use para aplicar filtros de contraseña o notificaciones de cambio de contraseña.
  • Asegúrese de que todos los complementos LSA estén firmados digitalmente con un certificado de Microsoft para que se carguen correctamente bajo protección LSA.
  • Asegúrese de que todos los complementos firmados correctamente se pueden cargar correctamente en LSA y que funcionan según lo previsto.
  • Utiliza los registros de auditoría para identificar los complementos y controladores de LSA que no pueden funcionar como un proceso protegido.

Limitaciones de la protección de LSA

Cuando se habilita la protección adicional de LSA, no se puede depurar un complemento de LSA personalizado. No se puede adjuntar un depurador a LSASS cuando se trata de un proceso protegido. En general, no hay una forma admitida de depurar un proceso protegido en ejecución.

Auditoría de complementos y controladores de LSA que no se cargan como un proceso protegido

Antes de habilitar la protección LSA, use el modo auditoría para identificar los complementos y controladores de LSA que no se cargan en modo protegido de LSA. Mientras está en modo auditoría, el sistema genera registros de eventos que identifican todos los complementos y controladores que no se cargan en LSA si la protección LSA está habilitada. Los mensajes se registran sin bloquear realmente los complementos o controladores.

Los eventos descritos en esta sección se registran en el Visor de eventos en el registro operativo en Registros> de aplicaciones y serviciosde Microsoft>Windows>CodeIntegrity. Estos eventos pueden ayudarle a identificar los complementos y controladores de LSA que no se han cargado correctamente debido a problemas relacionados con firmas. Para administrar estos eventos, puede usar la herramienta de línea de comandos wevtutil . Para obtener información sobre esta herramienta, consulte Wevtutil.

Importante

Los eventos de auditoría no se generan si Smart App Control está habilitado en un dispositivo. Para comprobar o cambiar el estado de Smart App Control, abra la aplicación Seguridad de Windows y vaya a la página Control de aplicaciones y exploradores . Seleccione Configuración de Smart App Control para comprobar si Smart App Control está habilitado. Si desea auditar la protección LSA agregada, cambie la configuración a Desactivado.

Nota:

El modo de auditoría para la protección LSA agregada está habilitado de forma predeterminada en los dispositivos que ejecutan Windows 11 versión 22H2 y versiones posteriores. Si el dispositivo ejecuta esta compilación o posterior, no se necesita ninguna otra acción para auditar la protección de LSA agregada.

Habilitar el modo de auditoría para LSASS.exe en un solo equipo

  1. Abra el Editor del Registro o escriba RegEdit.exe en el cuadro de diálogo Ejecutar y, a continuación, vaya a la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe .
  2. Abra el valor AuditLevel . Establezca su tipo de datos en dword y su valor de datos en 00000008.
  3. Reinicia el ordenador.

Después de realizar estos pasos, busque eventos que tengan los siguientes identificadores: 3065 y 3066. Para comprobar estos eventos, abra el Visor de eventos y, a continuación, expanda Registros > de aplicaciones y serviciosde Microsoft>Windows>CodeIntegrity>Operational.

  • El evento 3065 se produce cuando una comprobación de integridad de código determina que un proceso, normalmente LSASS.exe, intenta cargar un controlador que no cumple los requisitos de seguridad de las secciones compartidas. Sin embargo, debido a la directiva del sistema establecida actualmente, la imagen puede cargarse.
  • El evento 3066 se produce cuando una comprobación de integridad de código determina que un proceso, normalmente LSASS.exe, intenta cargar un controlador que no cumple los requisitos de nivel de firma de Microsoft. Sin embargo, debido a la directiva del sistema establecida actualmente, la imagen puede cargarse.

Si un complemento o controlador contiene secciones compartidas, el evento 3066 se registra con el evento 3065. Quitar las secciones compartidas debe impedir que se produzcan ambos eventos a menos que el complemento no cumpla los requisitos de nivel de firma de Microsoft.

Importante

Estos eventos operativos no se generan cuando un depurador de kernel está conectado y habilitado en un sistema.

Habilitar el modo de auditoría para LSASS.exe en varios equipos

Para habilitar el modo de auditoría para varios equipos de un dominio, puede usar la extensión del lado cliente del Registro para la directiva de grupo para implementar el valor del Registro de nivel de auditoría LSASS.exe. Debe modificar la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  1. Abra la Consola de administración de directivas de grupo escribiendo gpmc.msc en el cuadro de diálogo Ejecutar o seleccionando Consola de administración de directivas de grupo en el menú Inicio.
  2. Crear un nuevo objeto de directiva de grupo (GPO) que esté vinculado a nivel de dominio o a la unidad organizativa que contiene las cuentas de equipo. O bien, seleccione un GPO que ya esté implementado.
  3. Haga clic con el botón derecho en el GPO y seleccione Editar para abrir el Editor de administración de directivas de grupo.
  4. Expanda Configuración del equipo>Preferencias>Configuración de Windows.
  5. Haga clic con el botón derecho en Registro, apunte a Nuevo, y luego seleccione Elemento del Registro. Aparece el cuadro de diálogo Nuevas propiedades del Registro .
  6. En el cuadro de diálogo Nuevas propiedades del Registro , seleccione o escriba los valores siguientes:
    • En Hive, seleccione HKEY_LOCAL_MACHINE.
    • En Ruta de acceso de la clave, seleccione SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
    • En Nombre del valor, escriba AuditLevel.
    • En Tipo de valor, seleccione REG_DWORD.
    • En Datos de valor, escriba 00000008.
  7. Selecciona Aceptar.

Nota:

Para que el GPO surta efecto, el cambio de GPO debe replicarse en todos los controladores de dominio del dominio.

Para optar por la protección LSA agregada en varios equipos, puede usar la extensión del lado cliente del Registro para la directiva de grupo para modificar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Para obtener instrucciones, consulte Habilitación y configuración de la protección de credenciales de LSA agregada más adelante en este artículo.

Identificar complementos y controladores que LSASS.exe no logra cargar

Cuando se habilita la protección LSA, el sistema genera registros de eventos que identifican todos los complementos y controladores que no se cargan en LSA. Después de participar en la protección LSA agregada, puede usar el registro de eventos para identificar los complementos y controladores de LSA que no se cargan en modo de protección LSA.

Para comprobar los siguientes eventos en el Visor de eventos, expanda Registros de aplicaciones y servicios>de Microsoft>Windows>CodeIntegrity>Operational:

  • El evento 3033 se produce cuando una comprobación de integridad de código determina que un proceso, normalmente LSASS.exe, intenta cargar un controlador que no cumple los requisitos de nivel de firma de Microsoft.
  • El evento 3063 se produce cuando una comprobación de integridad de código determina que un proceso, normalmente LSASS.exe, intenta cargar un controlador que no cumple los requisitos de seguridad de las secciones compartidas.

Las secciones compartidas suelen dar como resultado cuando las técnicas de programación permiten que los datos de instancia interactúen con otros procesos que usan el mismo contexto de seguridad. Las secciones compartidas pueden crear vulnerabilidades de seguridad.

Habilitación y configuración de la protección de credenciales de LSA agregadas

Puede configurar la protección LSA agregada para dispositivos que ejecutan Windows 8.1 o posterior, o Windows Server 2012 R2 o posterior, mediante los procedimientos de esta sección.

Dispositivos que usan arranque seguro y UEFI

Al habilitar la protección LSA en dispositivos basados en x86 o x64 que usan arranque seguro o UEFI, puede almacenar una variable UEFI en el firmware UEFI mediante una clave del Registro o una directiva. Cuando se habilita con el bloqueo UEFI, LSASS se ejecuta como un proceso protegido y esta configuración se almacena en una variable UEFI en el firmware.

Cuando la configuración se almacena en el firmware, la variable UEFI no se puede eliminar ni cambiar para configurar la protección LSA agregada modificando el Registro o por directiva. La variable UEFI debe restablecerse mediante las instrucciones de Eliminación de la variable UEFI de protección de LSA.

Cuando se habilita sin un bloqueo UEFI, LSASS se ejecuta como un proceso protegido y esta configuración no se almacena en una variable UEFI. Esta configuración se aplica de forma predeterminada en los dispositivos con una nueva instalación de Windows 11 versión 22H2 o posterior.

En dispositivos basados en x86 o x64 que no admiten UEFI o en los que el arranque seguro está deshabilitado, no se puede almacenar la configuración para la protección de LSA en el firmware. Estos dispositivos dependen únicamente de la presencia de la clave del Registro. En este escenario, es posible deshabilitar la protección LSA mediante el acceso remoto al dispositivo. La deshabilitación de la protección LSA no surte efecto hasta que se reinicie el dispositivo.

Habilitación automática

En el caso de los dispositivos cliente que ejecutan Windows 11 versión 22H2 y versiones posteriores, la protección LSA agregada está habilitada de forma predeterminada si se cumplen los siguientes criterios:

  • El dispositivo es una nueva instalación de Windows 11 versión 22H2 o posterior, no actualizada desde una versión anterior.
  • El dispositivo está unido a la empresa (unido a un dominio de Active Directory, unido a un dominio de Microsoft Entra o unido a un dominio híbrido de Microsoft Entra).
  • El dispositivo puede proporcionar integridad de código protegida por hipervisor (HVCI).

La habilitación automática de la protección LSA agregada en Windows 11 versión 22H2 y versiones posteriores no establece una variable UEFI para la característica. Si desea establecer una variable UEFI, puede usar una directiva o configuración del Registro.

Habilitación de la protección LSA en un único equipo

Puede habilitar la protección de LSA en un solo equipo usando el Registro o la directiva de grupo local.

Habilitación mediante el registro

  1. Abra el Editor del Registro o escriba RegEdit.exe en el cuadro de diálogo Ejecutar y, a continuación, vaya a la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
  2. Abra el valor RunAsPPL y edite sus datos:
    • Para configurar la característica con una variable UEFI, use un tipo de dword y un valor de datos de 00000001.
    • Para configurar la característica sin una variable UEFI, use un tipo de dword y un valor de datos de 00000002. Este valor solo se aplica en la compilación 22H2 de Windows 11 y versiones posteriores.
  3. Reinicia el ordenador.

Habilitar mediante la directiva de grupo local en Windows 11 versión 22H2 y posteriores

  1. Abra el Editor de directivas de grupo local escribiendo gpedit.msc en el cuadro de diálogo Ejecutar .
  2. Expanda Configuración de la Computadora>Plantillas Administrativas>Sistema>Autoridad de Seguridad Local.
  3. Abra la política Configurar LSASS para que se ejecute como un proceso protegido.
  4. Establezca la directiva como Habilitada.
  5. En Opciones, seleccione una de las siguientes opciones:
    • Para configurar la característica con una variable UEFI, seleccione Habilitado con bloqueo UEFI.
    • Para configurar la característica sin una variable UEFI, seleccione Habilitado sin bloqueo UEFI.
  6. Selecciona Aceptar.
  7. Reinicia el ordenador.

Habilitación de la protección de LSA mediante la directiva de grupo

  1. Abra la Consola de administración de directivas de grupo escribiendo gpmc.msc en el cuadro de diálogo Ejecutar o seleccionando Consola de administración de directivas de grupo en el menú Inicio.
  2. Cree un GPO que esté vinculado a nivel de dominio o vinculado a la unidad organizativa que contiene las cuentas de computadoras. O bien, seleccione un GPO que ya esté implementado.
  3. Haga clic con el botón derecho en el GPO y seleccione Editar para abrir el Editor de administración de directivas de grupo.
  4. Expanda Configuración del equipo>Preferencias>Configuración de Windows.
  5. Haga clic con el botón derecho en Registro, apunte a Nuevo, y luego seleccione Elemento del Registro. Aparece el cuadro de diálogo Nuevas propiedades del Registro .
  6. En el cuadro de diálogo Nuevas propiedades del Registro , seleccione o escriba los valores siguientes:
    • En Hive, seleccione HKEY_LOCAL_MACHINE.
    • En Ruta de acceso de la clave, seleccione SYSTEM\CurrentControlSet\Control\Lsa.
    • En Nombre del valor, escriba RunAsPPL.
    • En Tipo de valor, seleccione REG_DWORD.
    • Para Datos de valor, introduzca uno de los siguientes valores:
      • Para habilitar la protección LSA con una variable UEFI, escriba 00000001.
      • Para habilitar la protección LSA sin una variable UEFI, escriba 00000002. Esta configuración solo se aplica en Windows 11 versión 22H2 y versiones posteriores.
  7. Selecciona Aceptar.

Habilitación de la protección LSA mediante la creación de un perfil de configuración de dispositivo personalizado

En el caso de los dispositivos que ejecutan Windows 11 versión 22H2 y versiones posteriores, puede seguir los pasos descritos en las secciones siguientes para habilitar y configurar la protección LSA. Este procedimiento usa el Centro de administración de Microsoft Intune para crear un perfil de configuración de dispositivo personalizado.

Creación de un perfil

  1. En el Centro de administración de Intune, vaya a Dispositivos>Windows>Perfiles de configuración y seleccione Crear perfil.
  2. En la pantalla Crear un perfil , seleccione las siguientes opciones:
    • Plataforma: seleccione Windows 10 y versiones posteriores
    • En Tipo de perfil: seleccione Plantillas y elija Personalizado.
  3. Selecciona Crear.
  4. En la pantalla Aspectos básicos , escriba un nombre y una descripción opcional para el perfil y, a continuación, seleccione Siguiente.

Agregar opciones de configuración iniciales

  1. En la pantalla Configuración , seleccione Agregar.
  2. En la pantalla Agregar fila , escriba la siguiente información:
    • En Nombre, escriba un nombre para la configuración Open Mobile Alliance – Uniform Resource (OMA-URI).
    • En OMA-URI, escriba ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
    • En Tipo de datos, seleccione Entero.
    • En Valor, escriba uno de los siguientes valores:
      • Para configurar LSASS para que se ejecute como un proceso protegido con bloqueo UEFI, escriba 1.
      • Para configurar LSASS para que se ejecute como un proceso protegido sin bloqueo UEFI, escriba 2.
  3. Seleccione Guardar y, a continuación, seleccione Siguiente.

Finalización de la configuración del perfil

  1. En la página Asignaciones , configure las asignaciones y, a continuación, seleccione Siguiente.
  2. En la página Reglas de aplicabilidad , configure las reglas de aplicabilidad y, a continuación, seleccione Siguiente.
  3. En la página Revisar y crear , compruebe la configuración y, a continuación, seleccione Crear.
  4. Reinicia el ordenador.

Para obtener más información sobre este proveedor de servicios de configuración de directivas (CSP), consulte LocalSecurityAuthority - ConfigureLsaProtectedProcess.

Deshabilitar protección de LSA

Puede deshabilitar la protección de LSA usando el Registro o la directiva de grupo local. Si el dispositivo usa arranque seguro y establece la variable UEFI de protección de LSA en el firmware, puede usar una herramienta para quitar la variable UEFI.

Deshabilitación mediante el registro

  1. Abra el Editor del Registro o escriba RegEdit.exe en el cuadro de diálogo Ejecutar y, a continuación, vaya a la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
  2. Abra el valor RunAsPPL y establezca su valor de datos en 000000000. O elimine el valor RunAsPPL .
  3. Si la característica de procesos protegidos ligeros (PPL) se ha habilitado con una variable UEFI, use la herramienta para excluir procesos protegidos de la Autoridad de Seguridad Local para quitar la variable UEFI.
  4. Reinicia el ordenador.

Deshabilitar mediante la directiva local en Windows 11 versión 22H2 y posteriores

  1. Abra el Editor de directivas de grupo local escribiendo gpedit.msc en el cuadro de diálogo Ejecutar .
  2. Expanda Configuración de la Computadora>Plantillas Administrativas>Sistema>Autoridad de Seguridad Local.
  3. Abra la política Configurar LSASS para que se ejecute como un proceso protegido.
  4. Establezca la directiva como Habilitada.
  5. En Opciones, seleccione Deshabilitado.
  6. Selecciona Aceptar.
  7. Reinicia el ordenador.

Nota:

Si establece esta directiva en No configurada y la directiva se ha habilitado anteriormente, la configuración anterior no se limpia y continúa aplicando. Debe establecer la directiva en Deshabilitada en la lista desplegable Opciones para deshabilitar la característica.

Eliminación de la variable de UEFI de la protección de LSA

Puede usar la herramienta de exclusión de procesos protegidos de la Autoridad de seguridad local (LSA) del Centro de descarga de Microsoft para eliminar la variable UEFI si el dispositivo usa arranque seguro.

Nota:

El Centro de descarga ofrece dos archivos denominados LsaPplConfig.efi. El archivo más pequeño es para sistemas basados en x86 y el archivo mayor es para sistemas basados en x64.

Para obtener más información sobre cómo administrar el arranque seguro, consulte FIRMWARE UEFI.

Precaución

Cuando se desactiva el arranque seguro, se restablecen todas las configuraciones relacionadas con el arranque seguro y UEFI. Debe desactivar el arranque seguro solo cuando todos los demás medios para deshabilitar la protección LSA produzcan un error.

Comprobación de la protección de LSA

Para determinar si LSA se inicia en modo protegido cuando se inicia Windows, siga estos pasos:

  1. Abra el Visor de eventos.
  2. Expanda Registros de Windows>Sistema.
  3. Busque el siguiente evento WinInit : 12: LSASS.exe se inició como un proceso protegido con nivel: 4.

LSA y Credential Guard

La protección LSA es una característica de seguridad que defiende la información confidencial, como las credenciales, contra el robo bloqueando la inyección de código LSA no confiable y el volcado de memoria de procesos. La protección de LSA se ejecuta en segundo plano al aislar el proceso de LSA en un contenedor y evitar que otros procesos, como actores malintencionados o aplicaciones, accedan a la característica. Este aislamiento hace que la protección de LSA sea una característica de seguridad vital, por lo que está habilitada de forma predeterminada en Windows 11.

A partir de Windows 10, Credential Guard también ayuda a evitar ataques de robo de credenciales mediante la protección de hashes de contraseña NTLM, vales de concesión de vales (TGT) kerberos y credenciales almacenadas por aplicaciones como credenciales de dominio. Kerberos, NTLM y Credential Manager aíslan los secretos mediante la seguridad basada en virtualización (VBS).

Cuando Credential Guard está habilitado, el proceso de LSA se comunica con un componente denominado proceso LSA aislado o LSAIso.exe, que almacena y protege los secretos. Los datos almacenados por el proceso LSA aislado están protegidos mediante VBS y no son accesibles para el resto del sistema operativo. LSA usa llamadas a procedimiento remoto para comunicarse con el proceso LSA aislado.

A partir de Windows 11 versión 22H2, VBS y Credential Guard están habilitados de forma predeterminada en todos los dispositivos que cumplan los requisitos del sistema. Credential Guard solo se admite en dispositivos de arranque seguro de 64 bits. La protección LSA y Credential Guard son complementarias, y los sistemas que admiten Credential Guard o lo habilitan de forma predeterminada también pueden habilitar y beneficiarse de la protección LSA. Para obtener más información sobre Credential Guard, consulte Introducción a Credential Guard.

Más recursos