Partager via

Configurer une protection LSA renforcée

Cet article explique comment configurer la protection ajoutée pour le processus LSA (Local Security Authority) afin d’empêcher l’injection de code qui peut compromettre les informations d’identification.

LSA, qui inclut le processus LSASS (Local Security Authority Server Service), valide les utilisateurs pour les connexions locales et distantes et applique des stratégies de sécurité locales. Sur Windows 8.1 et versions ultérieures, la protection ajoutée pour LSA est fournie pour empêcher les processus non protégés de lire la mémoire et d’injecter du code. Cette fonctionnalité fournit une sécurité supplémentaire pour les informations d’identification que LSA stocke et gère. Vous pouvez bénéficier d’une protection supplémentaire lorsque vous utilisez le verrou UEFI (Unified Extensible Firmware Interface) et le démarrage sécurisé. Lorsque ces paramètres sont activés, la désactivation de la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa n’a aucun effet.

Exigences spécifiques au processus protégé pour les plug-ins ou pilotes

Pour qu’un plug-in ou un pilote LSA se charge correctement en tant que processus protégé, il doit répondre aux critères des deux sections suivantes.

Vérification de signature

Le mode protégé nécessite que tout plug-in chargé dans l’instance LSA soit signé numériquement avec une signature Microsoft. Les plug-ins qui ne sont pas signés ou qui ne sont pas signés avec une signature Microsoft ne peuvent pas être chargés dans LSA. Les plug-ins sont des pilotes de carte à puce, des plug-ins de chiffrement et des filtres de mot de passe.

  • Les plug-ins LSA qui sont des pilotes, tels que les pilotes de carte à puce, doivent être signés à l’aide de la certification WHQL (Hardware Quality Labs) Windows. Pour plus d’informations, consultez la signature de publication WHQL.
  • Les plug-ins LSA qui n’ont pas de processus de certification WHQL doivent être signés à l’aide du service de signature de fichiers pour LSA.

Conformité aux directives du processus de développement sécuritaire de Microsoft (SDL)

  • Tous les plug-ins doivent se conformer aux instructions de processus SDL applicables. Pour plus d’informations, consultez Microsoft Security Development Lifecycle (SDL) – Guide de processus.
  • Même si les plug-ins sont correctement signés avec une signature Microsoft, la non-conformité avec le processus SDL peut entraîner un échec de chargement d’un plug-in.

Utilisez la liste suivante pour tester soigneusement l’activation de la protection LSA avant de déployer largement la fonctionnalité :

  • Identifiez tous les plug-ins et pilotes LSA que votre organisation utilise. Incluez les pilotes ou plug-ins non-Microsoft, tels que les pilotes de carte à puce et les plug-ins de chiffrement, ainsi que tout logiciel développé en interne utilisé pour appliquer des filtres de mot de passe ou des notifications de modification de mot de passe.
  • Assurez-vous que tous les plug-ins LSA sont signés numériquement avec un certificat Microsoft pour qu’ils puissent se charger correctement sous la protection LSA.
  • Vérifiez que tous les plug-ins correctement signés peuvent se charger correctement dans LSA et qu’ils s’exécutent comme prévu.
  • Utilisez les journaux d’audit pour identifier les plug-ins et pilotes LSA qui ne parviennent pas à s’exécuter en tant que processus protégé.

Limitations de l’activation de la protection LSA

Si la protection LSA ajoutée est activée, vous ne pouvez pas déboguer un plug-in LSA personnalisé. Vous ne pouvez pas attacher un débogueur à LSASS lorsqu’il s’agit d’un processus protégé. En général, il n’existe aucun moyen pris en charge de déboguer un processus protégé en cours d’exécution.

Auditer les plug-ins et les pilotes LSA qui ne seront pas chargés en tant que processus protégé

Avant d’activer la protection LSA, utilisez le mode d’audit pour identifier les plug-ins LSA et les pilotes qui ne parviennent pas à se charger en mode protégé LSA. En mode audit, le système génère des journaux d’événements qui identifient tous les plug-ins et pilotes qui ne parviennent pas à se charger sous LSA si la protection LSA est activée. Les messages sont en fait journalisés sans bloquer les plug-ins et les pilotes.

Les événements décrits dans cette section sont enregistrés dans l’Observateur d’événements dans le Journal Opérationnel sous Journaux d'applications et de services>Microsoft>Windows>CodeIntegrity. Ces événements peuvent vous aider à identifier les plug-ins et pilotes LSA dont le chargement échoue pour des raisons de signature. Pour gérer ces événements, vous pouvez utiliser l’outil en ligne de commande wevtutil . Pour plus d’informations sur cet outil, consultez Wevtutil.

Important

Les événements d’audit ne sont pas générés si Smart App Control est activé sur un appareil. Pour vérifier ou modifier l’état du contrôle d’application intelligente, ouvrez l’application sécurité Windows et accédez à la page de contrôle Application &navigateur . Sélectionnez les paramètres Smart App Control pour vérifier si Smart App Control est activé. Si vous souhaitez auditer la protection LSA ajoutée, remplacez la configuration par Désactivé.

Remarque

Le mode d’audit pour la protection LSA ajoutée est activé par défaut sur les appareils exécutant Windows 11 version 22H2 et versions ultérieures. Si votre appareil exécute cette build ou une version ultérieure, aucune autre action n’est nécessaire pour auditer la protection LSA ajoutée.

Activer le mode d’audit pour LSASS.exe sur un seul ordinateur

  1. Ouvrez l’Éditeur du Registre ou entrez RegEdit.exe dans la boîte de dialogue Exécuter , puis accédez à la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe .
  2. Ouvrez la valeur AuditLevel . Définissez son type de données sur dword et sa valeur de données sur 00000008.
  3. Redémarrez l'ordinateur.

Une fois ces étapes effectuées, recherchez les événements qui ont les ID suivants : 3065 et 3066. Pour rechercher ces événements, ouvrez l’Observateur d’événements, puis développez Journaux des applications et des services>Microsoft>Windows>CodeIntegrity>Opérationnel.

  • L’événement 3065 se produit lorsqu’une vérification d’intégrité du code détermine qu’un processus, généralement LSASS.exe, tente de charger un pilote qui ne répond pas aux exigences de sécurité pour les sections partagées. Toutefois, en raison de la stratégie système actuellement définie, le chargement de l’image est autorisé.
  • L’événement 3066 se produit lorsqu’une vérification d’intégrité du code détermine qu’un processus, généralement LSASS.exe, tente de charger un pilote qui ne répond pas aux exigences de niveau de signature Microsoft. Toutefois, en raison de la stratégie système actuellement définie, le chargement de l’image est autorisé.

Si un plug-in ou un pilote contient des sections partagées, l’événement 3066 est enregistré avec l’événement 3065. La suppression des sections partagées doit empêcher les deux événements de se produire, sauf si le plug-in ne répond pas aux exigences de niveau de signature Microsoft.

Important

Ces événements opérationnels ne sont pas générés lorsqu’un débogueur de noyau est attaché et activé sur un système.

Activer le mode d’audit pour LSASS.exe sur plusieurs ordinateurs

Pour activer le mode audit pour plusieurs ordinateurs d’un domaine, vous pouvez utiliser l’extension de registre côté client pour la stratégie de groupe afin de déployer la valeur du registre de niveau d’audit LSASS.exe. Vous devez modifier la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe .

  1. Ouvrez la console de gestion des stratégies de groupe en entrant gpmc.msc dans la boîte de dialogue Exécuter ou en sélectionnant La console de gestion des stratégies de groupe dans le menu Démarrer .
  2. Créez un objet de stratégie de groupe (GPO) lié au niveau du domaine ou lié à l’unité d’organisation qui contient vos comptes d’ordinateur. Ou sélectionnez un objet GPO qui est déjà déployé.
  3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe, puis sélectionnez Modifier pour ouvrir l’éditeur de gestion des stratégies de groupe.
  4. Développez Configuration de l'ordinateur>Préférences>Paramètres Windows.
  5. Cliquez avec le bouton droit sur Registre, pointez sur Nouveau, puis sélectionnez Élément de Registre. La boîte de dialogue Nouvelles propriétés du Registre s’affiche.
  6. Dans la boîte de dialogue Nouvelles propriétés du Registre , sélectionnez ou entrez les valeurs suivantes :
    • Pour Hive, sélectionnez HKEY_LOCAL_MACHINE.
    • Pour le chemin de clé, sélectionnez SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
    • Pour le nom de la valeur, entrez AuditLevel.
    • Pour Type de valeur, sélectionnez REG_DWORD.
    • Pour les données de la valeur, entrez 00000008.
  7. Sélectionnez OK.

Remarque

Pour que l’objet de stratégie de groupe prenne effet, la modification de l’objet de stratégie de groupe doit être répliquée sur tous les contrôleurs de domaine du domaine.

Pour activer une protection LSA supplémentaire sur plusieurs ordinateurs, vous pouvez utiliser l’extension côté client du registre pour la Stratégie de Groupe afin de modifier HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Pour obtenir des instructions, consultez Activer et configurer la protection des informations d’identification LSA ajoutée plus loin dans cet article.

Identifier les plug-ins et les pilotes qui LSASS.exe ne parvient pas à charger

Lorsque la protection LSA est activée, le système génère des journaux d’événements qui identifient tous les plug-ins et pilotes qui ne parviennent pas à se charger sous LSA. Une fois que vous avez choisi d’ajouter une protection LSA, vous pouvez utiliser le journal des événements pour identifier les plug-ins LSA et les pilotes qui ne parviennent pas à se charger en mode de protection LSA.

Recherchez les événements suivants dans l’observateur d’événements en développant Journaux des applications et des services>Microsoft>Windows>CodeIntegrity>Opérationnel :

  • L’événement 3033 se produit lorsqu’une vérification d’intégrité du code détermine qu’un processus, généralement LSASS.exe, tente de charger un pilote qui ne répond pas aux exigences de niveau de signature Microsoft.
  • L’événement 3063 se produit lorsqu’une vérification d’intégrité du code détermine qu’un processus, généralement LSASS.exe, tente de charger un pilote qui ne répond pas aux exigences de sécurité pour les sections partagées.

Les sections partagées résultent généralement lorsque les techniques de programmation permettent aux données d’instance d’interagir avec d’autres processus qui utilisent le même contexte de sécurité. Les sections partagées peuvent créer des vulnérabilités de sécurité.

Activer et configurer la protection des informations d’identification LSA ajoutée

Vous pouvez configurer la protection LSA ajoutée pour les appareils exécutant Windows 8.1 ou version ultérieure, ou Windows Server 2012 R2 ou version ultérieure, à l’aide des procédures décrites dans cette section.

Appareils qui utilisent le démarrage sécurisé et UEFI

Lorsque vous activez la protection LSA sur des appareils x86 ou x64 qui utilisent le démarrage sécurisé ou UEFI, vous pouvez stocker une variable UEFI dans le microprogramme UEFI à l’aide d’une clé ou d’une stratégie de Registre. Lorsqu’il est activé avec le verrou UEFI, LSASS s’exécute en tant que processus protégé et ce paramètre est stocké dans une variable UEFI dans le microprogramme.

Lorsque le paramètre est stocké dans le microprogramme, la variable UEFI ne peut pas être supprimée ou modifiée pour configurer la protection LSA ajoutée en modifiant le Registre ou par stratégie. La variable UEFI doit être réinitialisée en utilisant les instructions de Suppression de la variable UEFI de protection LSA.

Lorsqu’il est activé sans verrou UEFI, LSASS s’exécute en tant que processus protégé et ce paramètre n’est pas stocké dans une variable UEFI. Ce paramètre est appliqué par défaut sur les appareils avec une nouvelle installation de Windows 11 version 22H2 ou ultérieure.

Sur les appareils x86 ou x64 qui ne prennent pas en charge UEFI ou où le démarrage sécurisé est désactivé, vous ne pouvez pas stocker la configuration de la protection LSA dans le microprogramme. Ces appareils s’appuient uniquement sur la présence de la clé de Registre. Dans ce scénario, il est possible de désactiver la protection LSA à l’aide de l’accès à distance à l’appareil. La désactivation de la protection LSA ne prend pas effet tant que l’appareil ne redémarre pas.

Activation automatique

Pour les appareils clients exécutant Windows 11 version 22H2 et ultérieures, la protection LSA ajoutée est activée par défaut si les critères suivants sont remplis :

  • L’appareil est une nouvelle installation de Windows 11 version 22H2 ou ultérieure, qui n’est pas mise à niveau à partir d’une version précédente.
  • L’appareil est joint à l’entreprise (joint à un domaine Active Directory, joint à un domaine Microsoft Entra ou joint à un domaine Microsoft Entra hybride).
  • L’appareil prend en charge HVCI (intégrité du code protégée par l’hyperviseur).

L’activation automatique de la protection LSA ajoutée sur Windows 11 version 22H2 et ultérieure ne définit pas de variable UEFI pour la fonctionnalité. Si vous souhaitez définir une variable UEFI, vous pouvez utiliser une configuration ou une stratégie de Registre.

Activer la protection LSA sur un seul ordinateur

Vous pouvez activer la protection LSA sur un seul ordinateur à l’aide du Registre ou à l’aide de la stratégie de groupe locale.

Activer à l’aide du Registre

  1. Ouvrez l’Éditeur du Registre ou entrez RegEdit.exe dans la boîte de dialogue Exécuter , puis accédez à la clé de RegistreHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
  2. Ouvrez la valeur RunAsPPL et modifiez ses données :
    • Pour configurer la fonctionnalité avec une variable UEFI, utilisez un type de mot-clé et une valeur de données de 00000001.
    • Pour configurer la fonctionnalité sans variable UEFI, utilisez un type de mot-clé et une valeur de données de 00000002. Cette valeur est appliquée uniquement sur Windows 11 build 22H2 et versions ultérieures.
  3. Redémarrez l'ordinateur.

Activer à l’aide de la stratégie de groupe locale sur Windows 11 version 22H2 et ultérieure

  1. Ouvrez l’Éditeur de stratégie de groupe local en entrant gpedit.msc dans la boîte de dialogue Exécuter .
  2. Développez Configuration de l'ordinateur>Modèles d'administration>Système>Autorité de sécurité locale.
  3. Ouvrez l’application Configurer LSASS pour qu’elle s’exécute en tant que stratégie de processus protégée .
  4. Définissez la stratégie sur Activé.
  5. Sous Options, sélectionnez l’une des options suivantes :
    • Pour configurer la fonctionnalité avec une variable UEFI, sélectionnez Activé avec le verrou UEFI.
    • Pour configurer la fonctionnalité sans variable UEFI, sélectionnez Activé sans verrou UEFI.
  6. Sélectionnez OK.
  7. Redémarrez l'ordinateur.

Activer la protection LSA à l’aide d’une stratégie de groupe

  1. Ouvrez la console de gestion des stratégies de groupe en entrant gpmc.msc dans la boîte de dialogue Exécuter ou en sélectionnant La console de gestion des stratégies de groupe dans le menu Démarrer .
  2. Créez un objet de stratégie de groupe qui est lié au niveau du domaine ou à l’unité d’organisation qui contient vos comptes d’ordinateur. Ou sélectionnez un objet GPO qui est déjà déployé.
  3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe, puis sélectionnez Modifier pour ouvrir l’éditeur de gestion des stratégies de groupe.
  4. Développez Configuration de l'ordinateur>Préférences>Paramètres Windows.
  5. Cliquez avec le bouton droit sur Registre, pointez sur Nouveau, puis sélectionnez Élément de Registre. La boîte de dialogue Nouvelles propriétés du Registre s’affiche.
  6. Dans la boîte de dialogue Nouvelles propriétés du Registre , sélectionnez ou entrez les valeurs suivantes :
    • Pour Hive, sélectionnez HKEY_LOCAL_MACHINE.
    • Pour Chemin de clé, sélectionnez SYSTEM\CurrentControlSet\Control\Lsa.
    • Pour le nom de la valeur, entrez RunAsPPL.
    • Pour Type de valeur, sélectionnez REG_DWORD.
    • Pour les données Valeur, entrez l’une des valeurs suivantes :
      • Pour activer la protection LSA avec une variable UEFI, entrez 00000001.
      • Pour activer la protection LSA sans variable UEFI, entrez 00000002. Ce paramètre est appliqué uniquement sur Windows 11 version 22H2 et ultérieure.
  7. Sélectionnez OK.

Activer la protection LSA en créant un profil de configuration d’appareil personnalisé

Pour les appareils exécutant Windows 11 version 22H2 et ultérieures, vous pouvez effectuer les étapes décrites dans les sections suivantes pour activer et configurer la protection LSA. Cette procédure utilise le Centre d’administration Microsoft Intune pour créer un profil de configuration d’appareil personnalisé.

Créer un profil

  1. Dans le Centre d’administration Intune, accédez auxprofils de configuration>>, puis sélectionnez Créer un profil.
  2. Dans l’écran Créer un profil , sélectionnez les options suivantes :
    • Sous Plateforme, sélectionnez Windows 10 et versions ultérieures.
    • Sous Type de profil, sélectionnez Modèles, puis sélectionnez Personnalisé.
  3. Sélectionnez Créer.
  4. Dans l’écran Informations de base , entrez un nom et une description facultative pour le profil, puis sélectionnez Suivant.

Ajouter des paramètres de configuration initiaux

  1. Dans l’écran Paramètres de configuration , sélectionnez Ajouter.
  2. Dans l’écran Ajouter une ligne , entrez les informations suivantes :
    • Pour Nom, entrez un nom pour le paramètre Open Mobile Alliance – Uniform Resource (OMA-URI).
    • Pour OMA-URI, entrez ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
    • Pour le type de données, sélectionnez Integer.
    • Pour Valeur, entrez l’une des valeurs suivantes :
      • Pour configurer LSASS pour qu’il s’exécute en tant que processus protégé avec le verrou UEFI, entrez 1.
      • Pour configurer LSASS pour qu’il s’exécute en tant que processus protégé sans verrou UEFI, entrez 2.
  3. Sélectionnez Enregistrer, puis sélectionnez Suivant.

Terminer la configuration du profil

  1. Dans la page Affectations, configurez les affectations , puis sélectionnez Suivant.
  2. Dans la page Règles d’applicabilité , configurez toutes les règles d’applicabilité, puis sélectionnez Suivant.
  3. Dans la page Vérifier + créer , vérifiez la configuration, puis sélectionnez Créer.
  4. Redémarrez l'ordinateur.

Pour plus d’informations sur ce fournisseur de services de configuration de stratégie (CSP), consultez LocalSecurityAuthority - ConfigureLsaProtectedProcess.

Désactiver la protection LSA

Vous pouvez désactiver la protection LSA à l’aide du Registre ou à l’aide de la stratégie de groupe locale. Si l’appareil utilise le démarrage sécurisé et que vous définissez la variable UEFI de protection LSA dans le microprogramme, vous pouvez utiliser un outil pour supprimer la variable UEFI.

Désactiver à l’aide du registre

  1. Ouvrez l’Éditeur du Registre ou entrez RegEdit.exe dans la boîte de dialogue Exécuter , puis accédez à la clé de RegistreHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
  2. Ouvrez la valeur RunAsPPL et définissez sa valeur de données sur 00000000. Ou supprimez la valeur RunAsPPL .
  3. Si la fonctionnalité PPL (Protected Process Light) a été activée avec une variable UEFI, utilisez l’outil d’exclusion du processus protégé par l’autorité de sécurité locale pour supprimer la variable UEFI.
  4. Redémarrez l'ordinateur.

Désactiver à l’aide d’une stratégie locale sur Windows 11 version 22H2 et ultérieure

  1. Ouvrez l’Éditeur de stratégie de groupe local en entrant gpedit.msc dans la boîte de dialogue Exécuter .
  2. Développez Configuration de l'ordinateur>Modèles d'administration>Système>Autorité de sécurité locale.
  3. Ouvrez l’application Configurer LSASS pour qu’elle s’exécute en tant que stratégie de processus protégée .
  4. Définissez la stratégie sur Activé.
  5. Sous Options, sélectionnez Désactivé.
  6. Sélectionnez OK.
  7. Redémarrez l'ordinateur.

Remarque

Si vous définissez cette stratégie sur Non configuré et que la stratégie a été activée précédemment, le paramètre précédent n’est pas nettoyé et continue d’être appliqué. Vous devez définir la stratégie sur Désactivé sous la liste déroulante Options pour désactiver la fonctionnalité.

Supprimer la variable UEFI de protection LSA

Vous pouvez utiliser l’outil DSA (Local Security Authority) Protected Process Opt-out du Centre de téléchargement Microsoft pour supprimer la variable UEFI si l’appareil utilise le démarrage sécurisé.

Remarque

Le Centre de téléchargement propose deux fichiers nommés LsaPplConfig.efi. Le fichier plus petit est destiné aux systèmes x86 et le fichier le plus grand est destiné aux systèmes x64.

Pour plus d’informations sur la gestion du démarrage sécurisé, consultez microprogramme UEFI.

Avertissement

Lorsque le démarrage sécurisé est désactivé, toutes les configurations liées au démarrage sécurisé et ueFI sont réinitialisées. Vous devez désactiver le démarrage sécurisé uniquement lorsque tous les autres moyens de désactiver la protection LSA échouent.

Vérifier la protection LSA

Pour déterminer si LSA démarre en mode protégé au démarrage de Windows, procédez comme suit :

  1. Ouvrez l’Observateur d’événements.
  2. Développez Journaux Windows>Système.
  3. Recherchez l’événement WinInit suivant : 12 : LSASS.exe a été démarré en tant que processus protégé avec le niveau : 4.

LSA et Credential Guard

La protection LSA est une fonctionnalité de sécurité qui défend les informations sensibles telles que les informations d’identification contre le vol en bloquant l’injection de code LSA non approuvée et le vidage de la mémoire. La protection LSA s’exécute en arrière-plan en isolant le processus LSA dans un conteneur et en empêchant d’autres processus, tels que les acteurs malveillants ou les applications, d’accéder à la fonctionnalité. Cette isolation rend la protection LSA une fonctionnalité de sécurité vitale, c’est pourquoi elle est activée par défaut dans Windows 11.

À compter de Windows 10, Credential Guard permet également d’empêcher les attaques par vol d’informations d’identification en protégeant les hachages de mot de passe NTLM, les tickets d’octroi de tickets Kerberos (TGT) et les informations d’identification stockées par les applications en tant qu’informations d’identification de domaine. Kerberos, NTLM et Credential Manager isolent les secrets à l’aide de la sécurité basée sur la virtualisation (VBS).

Lorsque Credential Guard est activé, le processus LSA communique avec un composant appelé processus LSA isolé, ou LSAIso.exe, qui stocke et protège les secrets. Les données stockées par le processus LSA isolé sont protégées à l’aide de VBS et ne sont pas accessibles au reste du système d’exploitation. L’autorité de sécurité locale utilise des appels de procédure distante pour communiquer avec le processus LSA isolé.

À compter de Windows 11 version 22H2, VBS et Credential Guard sont activés par défaut sur tous les appareils qui répondent à la configuration système requise. Credential Guard est pris en charge uniquement sur les appareils de démarrage sécurisé 64 bits. La protection LSA et Credential Guard sont complémentaires, et les systèmes qui prennent en charge Credential Guard ou l’activent par défaut peuvent également activer et tirer parti de la protection LSA. Pour plus d’informations sur Credential Guard, consultez la vue d’ensemble d’Credential Guard.

Plus de ressources