Configurer une protection LSA renforcée

  • Article

Cet article explique comment configurer une protection renforcée pour le processus de l’autorité de sécurité locale (LSA) afin d’empêcher toute injection de code qui pourrait compromettre les informations d’identification.

L’autorité LSA, qui comprend le processus LSASS (Local Security Authority Server Service), valide les utilisateurs pour les connexions locales et à distance, et applique les stratégies de sécurité locales. À compter de Windows 8.1 et ultérieur, une protection renforcée pour l’autorité LSA est fournie pour empêcher une lecture de la mémoire et une injection de code par des processus non protégés. Cette fonctionnalité renforce la sécurité des informations d’identification stockées et gérées par l’autorité LSA. Une plus grande protection est appliquée lors de l’utilisation du verrou UEFI et du démarrage sécurisé, car la désactivation de la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa n’a aucun effet.

Exigences spécifiques au processus protégé pour les plug-ins ou pilotes

Pour qu’un plug-in ou pilote LSA soit correctement chargé en tant que processus protégé, il doit répondre aux critères suivants :

Vérification de signature

Le mode protégé exige que tout plug-in chargé dans l’autorité LSA soit signé numériquement avec une signature Microsoft. Tout plug-in sans signature ou non signé avec une signature Microsoft ne pourra pas être chargé dans l’autorité LSA. Entre autres exemples de plug-in, citons les pilotes de cartes à puce, les plug-ins de chiffrement et les filtres de mots de passe.

  • Les plug-ins LSA qui sont des pilotes, tels que les pilotes de cartes à puce, doivent être signés à l’aide de la certification WHQL. Pour plus d’informations, consultez Signature de version WHQL.
  • Les plug-ins LSA sans processus de certification WHQL doivent être signés à l’aide du service de signature de fichiers pour LSA.

Respect du guide de processus Microsoft Security Development Lifecycle (SDL)

  • Tous les plug-ins doivent être conformes au guide de processus SDL applicable. Pour plus d’informations, consultez Microsoft Security Development Lifecycle (SDL) – Guide de processus.
  • Même si les plug-ins sont correctement signés avec une signature Microsoft, la non-conformité avec le processus SDL peut aboutir à l’échec du chargement d’un plug-in.

Utilisez la liste suivante pour vérifier soigneusement que la protection LSA est activée avant de procéder à un vaste déploiement de la fonctionnalité :

  • Identifiez tous les plug-ins et pilotes LSA que votre organisation utilise. Incluez les pilotes ou plug-ins non-Microsoft, tels que les pilotes de cartes à puce et les plug-ins de chiffrement, ainsi que tout logiciel développé en interne qui est utilisé pour appliquer des filtres de mots de passe ou des notifications de changement de mot de passe.
  • Vérifiez que tous les plug-ins LSA sont signés numériquement avec un certificat Microsoft pour éviter que leur chargement échoue sous la protection LSA.
  • Vérifiez que tous les plug-ins correctement signés peuvent être chargés dans l’autorité LSA et qu’ils fonctionnent comme prévu.
  • Utilisez les journaux d’audit pour identifier les plug-ins et pilotes LSA dont l’exécution en tant que processus protégé échoue.

Limitations de l’activation de la protection LSA

Si une protection LSA renforcée est activée, vous ne pouvez pas déboguer un plug-in LSA personnalisé. Vous ne pouvez pas attacher un débogueur à LSASS quand il s’agit d’un processus protégé. En général, il n’existe aucun moyen pris en charge pour déboguer un processus protégé en cours d’exécution.

Auditer les plug-ins et les pilotes LSA qui ne seront pas chargés en tant que processus protégé

Avant d’activer la protection LSA, utilisez le mode audit pour identifier les plug-ins et pilotes LSA dont le chargement échouera en mode protégé LSA. En mode audit, le système génère des journaux des événements qui identifient tous les plug-ins et pilotes qui ne peuvent pas être chargés sous LSA si la protection LSA est activée. Les messages sont journalisés sans bloquer les plug-ins et les pilotes, en fait.

Les événements décrits dans cette section figurent dans l’observateur d’événements dans le Journal des opérations sous Journaux des applications et des services>Microsoft>Windows>CodeIntegrity. Ces événements peuvent vous aider à identifier les plug-ins et pilotes LSA dont le chargement échoue pour des raisons de signature. Pour gérer ces événements, vous pouvez utiliser l'outil en ligne de commande wevtutil. Pour plus d'informations sur cet outil, voir Wevtutil.

Important

Les événements d’audit ne sont pas générés si Smart App Control est activé sur un appareil. Pour vérifier ou changer l’état d’activation de Smart App Control, ouvrez l’application Sécurité Windows et accédez à la page Contrôle Applications et navigateur . Sélectionnez Paramètres Smart App Control pour vérifier l’état d’activation et définissez la configuration sur Désactivé si vous essayez d’auditer une protection LSA renforcée.

Remarque

Le mode audit pour une protection LSA renforcée est activé par défaut sur les appareils exécutant Windows 11 version 22H2 et ultérieure. Si votre appareil exécute cette build ou une version ultérieure, aucune autre action n’est nécessaire pour auditer la protection LSA renforcée.

Activer le mode audit pour LSASS.exe sur un seul ordinateur

  1. Ouvrez l’Éditeur du Registre (RegEdit.exe) et accédez à la clé de Registre sur HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
  2. Affectez la valeur AuditLevel=dword:00000008 à la clé de Registre.
  3. Redémarrez l'ordinateur.

Après avoir effectué ces étapes, analysez les résultats de l’événement 3065 et de l’événement 3066. Dans l’observateur d’événements, recherchez ces événements dans le Journal des opérations sous Journaux des applications et des services>Microsoft>Windows>CodeIntegrity.

  • L’événement 3065 signale qu’une vérification de l’intégrité du code a déterminé qu’un processus, généralement LSASS.exe, a tenté de charger un pilote qui ne répondait pas aux conditions requises en matière de sécurité pour les sections partagées. Toutefois, en raison de la stratégie système actuellement définie, le chargement de l’image a été autorisé.
  • L’événement 3066 signale qu’une vérification de l’intégrité du code a déterminé qu’un processus, généralement LSASS.exe, a tenté de charger un pilote qui ne répondait pas aux conditions requises en matière de niveau de signature Microsoft. Toutefois, en raison de la stratégie système actuellement définie, le chargement de l’image a été autorisé.

Si un plug-in ou pilote contient des sections partagées, l’événement 3066 est consigné avec l’événement 3065. La suppression des sections partagées doit empêcher les deux événements de se produire, à moins que le plug-in ne respecte pas le niveau de signature Microsoft requis.

Important

Ces événements opérationnels ne sont pas générés lorsqu’un débogueur du noyau est attaché et activé sur un système.

Activer le mode audit pour LSASS.exe sur plusieurs ordinateurs

Pour activer le mode audit pour plusieurs ordinateurs d’un domaine, vous pouvez utiliser l’extension de Registre côté client pour la stratégie de groupe afin de déployer la valeur du Registre de niveau d’audit LSASS.exe. Vous devez modifier la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  1. Ouvrez la Console de gestion des stratégies de groupe (GPMC) en entrant gpmc.msc dans la boîte de dialogue Exécuter ou en sélectionnant la Console de gestion des stratégies de groupe à partir du menu Démarrer.
  2. Créez un objet de stratégie de groupe (GPO, group policy object) qui est lié au niveau du domaine ou qui est lié à l’unité d’organisation qui contient vos comptes d’ordinateur. Ou sélectionnez un objet GPO qui est déjà déployé.
  3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe, puis sélectionnez Modifier pour ouvrir l’Éditeur de gestion des stratégies de groupe.
  4. Développez Configuration ordinateur>Préférences>Paramètres Windows.
  5. Cliquez avec le bouton droit sur Registre, pointez sur Nouveau, puis sélectionnez Élément Registre. La boîte de dialogue Nouvelles propriétés de Registre s'affiche.
  6. Dans la liste Ruche, sélectionnez HKEY_LOCAL_MACHINE.
  7. Dans la liste Chemin d'accès à la clé, recherchez SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
  8. Dans la zone Nom de la valeur, tapez AuditLevel.
  9. Dans la zone Type de la valeur, sélectionnez REG_DWORD.
  10. Dans la zone Données de la valeur, tapez 00000008.
  11. Sélectionnez OK.

Remarque

Pour que l’objet GPO entre en vigueur, la modification qui lui est apportée doit être répliquée sur tous les contrôleurs du domaine.

Pour opter pour une protection LSA renforcée sur plusieurs ordinateurs, vous pouvez utiliser l’extension de Registre côté client pour la stratégie de groupe afin de modifier HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Pour obtenir des instructions, consultez Configurer la protection renforcée des informations d’identification LSA plus loin dans cet article.

Identifier les plug-ins et les pilotes que LSASS.exe ne parvient pas à charger

Lorsque la protection LSA est activée, le système génère des journaux des événements qui identifient tous les plug-ins et pilotes dont le chargement échoue sous LSA. Une fois que vous avez opté pour la protection LSA renforcée, vous pouvez utiliser le journal des événements pour identifier les plug-ins et pilotes LSA dont le chargement a échoué en mode de protection LSA.

Recherchez les événements suivants dans l’observateur d’événements dans Journaux des applications et des services>Microsoft>Windows>CodeIntegrity>Opérationnel :

  • L’événement 3033 signale qu’une vérification de l’intégrité du code a déterminé qu’un processus, généralement LSASS.exe, a tenté de charger un pilote qui ne répondait pas aux conditions requises en matière de niveau de signature Microsoft.
  • L’événement 3063 signale qu’une vérification de l’intégrité du code a déterminé qu’un processus, généralement LSASS.exe, a tenté de charger un pilote qui ne répondait pas aux conditions requises en matière de sécurité pour les sections partagées.

Les sections partagées sont généralement le résultat de techniques de programmation qui permettent aux données d’instance d’interagir avec d’autres processus qui utilisent le même contexte de sécurité, ce qui peut créer des vulnérabilités de sécurité.

Activer et configurer la protection renforcée des informations d’identification LSA

Vous pouvez configurer la protection LSA renforcée pour les appareils exécutant Windows 8.1 ou ultérieur, ou Windows Server 2012 R2 ou ultérieur, à l’aide des procédures décrites dans cette section.

Appareils qui utilisent le démarrage sécurisé et UEFI

Lorsque vous activez la protection LSA sur des appareils x86 ou x64 qui utilisent le démarrage sécurisé ou UEFI, vous pouvez stocker une variable UEFI dans le microprogramme UEFI à l’aide d’une clé de Registre ou d’une stratégie. Lorsqu’il est activé avec le verrou UEFI, LSASS s’exécute en tant que processus protégé et ce paramètre est stocké dans une variable UEFI dans le microprogramme.

Quand le paramètre est stocké dans le microprogramme, la variable UEFI ne peut pas être supprimée ou changée pour configurer la protection LSA renforcée en modifiant le Registre ou en utilisant une stratégie. La variable UEFI doit être réinitialisée à l’aide des instructions dans Supprimer la variable UEFI de protection LSA.

Lorsqu’il est activé sans verrou UEFI, LSASS s’exécute en tant que processus protégé et ce paramètre n’est pas stocké dans une variable UEFI. Ce paramètre est appliqué par défaut sur les appareils avec une nouvelle installation de Windows 11 version 22H2 ou ultérieure.

Sur les appareils x86 ou x64 qui ne prennent pas en charge UEFI ou sur lesquels le démarrage sécurisé est désactivé, vous ne pouvez pas stocker la configuration pour la protection LSA dans le microprogramme. Ces appareils comptent uniquement sur la présence de la clé de Registre. Dans ce scénario, il est possible de désactiver la protection LSA en utilisant l’accès à distance à l’appareil. La désactivation de la protection LSA n’entre en vigueur qu’au redémarrage de l’appareil.

Activation automatique

Pour les appareils clients exécutant Windows 11 version 22H2 et ultérieure, une protection LSA renforcée est activée par défaut si les critères suivants sont remplis :

  • L’appareil est une nouvelle installation de Windows 11 version 22H2 ou ultérieure, non mise à niveau à partir d’une version précédente.
  • L'appareil est relié à l'entreprise (domaine Active Directory, domaine Microsoft Entra ou domaine Microsoft Entra hybride).
  • L’appareil prend en charge HVCI (intégrité du code protégée par l’hyperviseur).

L’activation automatique de la protection LSA renforcée sur Windows 11 version 22H2 et ultérieure ne définit pas de variable UEFI pour la fonctionnalité. Si vous souhaitez définir une variable UEFI, vous pouvez utiliser une stratégie ou une configuration de Registre.

Remarque

Pour les appareils exécutant Windows RT 8.1, la protection LSA renforcée est toujours activée et ne peut pas être désactivée.

Activer la protection LSA sur un seul ordinateur

Vous pouvez activer la protection LSA sur un seul ordinateur à l’aide du Registre ou d’une stratégie de groupe locale.

Activer en utilisant le Registre

  1. Ouvrez l’Éditeur du Registre RegEdit.exe et accédez à la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  2. Affectez la valeur suivante à la clé de Registre :
    • "RunAsPPL"=dword:00000001 pour configurer la fonctionnalité avec une variable UEFI.
    • "RunAsPPL"=dword:00000002 pour configurer la fonctionnalité sans variable UEFI, uniquement appliquée sur Windows 11 build 22H2 et ultérieure.
  3. Redémarrez l'ordinateur.

Activer à l’aide d’une stratégie de groupe locale sur Windows 11 version 22H2 et ultérieure

  1. Ouvrez l’Éditeur de stratégie de groupe locale en entrant gpedit.msc.
  2. Développez Configuration ordinateur>Modèles d’administration>Système>Autorité de sécurité locale.
  3. Ouvrez la stratégie Configurer LSASS pour qu’il s’exécute en tant que processus protégé.
  4. Définissez la stratégie sur Activé.
  5. Sous Options, sélectionnez l’une des options suivantes.
    • Activé avec verrou UEFI pour configurer la fonctionnalité avec une variable UEFI.
    • Activé sans verrou UEFI pour configurer la fonctionnalité sans variable UEFI.
  6. Sélectionnez OK.
  7. Redémarrez l’ordinateur.

Activer la protection LSA à l’aide d’une stratégie de groupe

  1. Ouvrez la Console GPMC en entrant gpmc.msc dans la boîte de dialogue Exécuter ou en sélectionnant la Console de gestion des stratégies de groupe à partir du menu Démarrer.
  2. Créez un objet de stratégie de groupe qui est lié au niveau du domaine ou à l’unité d’organisation qui contient vos comptes d’ordinateur. Ou sélectionnez un objet GPO qui est déjà déployé.
  3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe, puis sélectionnez Modifier pour ouvrir l’Éditeur de gestion des stratégies de groupe.
  4. Développez Configuration ordinateur>Préférences>Paramètres Windows.
  5. Cliquez avec le bouton droit sur Registre, pointez sur Nouveau, puis sélectionnez Élément Registre. La boîte de dialogue Nouvelles propriétés de Registre s'affiche.
  6. Dans la liste Ruche, sélectionnez HKEY_LOCAL_MACHINE.
  7. Dans la liste Chemin d’accès à la clé , recherchez SYSTEM\CurrentControlSet\Control\Lsa.
  8. Dans la zone Nom de la valeur, tapez RunAsPPL.
  9. Dans la zone Type de la valeur, sélectionnez REG_DWORD.
  10. Dans la zone Données de la valeur, tapez :
    • 00000001 pour activer la protection LSA avec une variable UEFI.
    • 00000002 pour activer la protection LSA sans variable UEFI, appliquée uniquement sur Windows 11 version 22H2 et ultérieure.
  11. Sélectionnez OK.

Activer la protection LSA en créant un profil de configuration d’appareil personnalisé

Pour les appareils exécutant Windows 11 version 22H2 et ultérieure, vous pouvez activer et configurer la protection LSA en créant un profil de configuration d’appareil personnalisé dans le Centre d’administration Microsoft Intune.

  1. Dans le Centre d’administration Intune, accédez à Appareils>Windows>Profils de configuration et sélectionnez Créer un profil.
  2. Dans l’écran Créer un profil, sélectionnez les options suivantes :
    • Plateforme : Windows 10 et ultérieur
    • Type de profil : Sélectionnez Modèles, puis Personnalisé.
  3. Cliquez sur Créer.
  4. Dans l’écran Informations de base, entrez un Nom et une Description facultative pour le profil, puis sélectionnez Suivant.
  5. Dans l’écran Paramètres de configuration, sélectionnez Ajouter.
  6. Dans l’écran Ajouter une ligne, fournissez les informations suivantes :
    • Nom : Fournissez un nom pour le paramètre OMA-URI.
    • OMA-URI : Entrez ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
    • Type de données : Sélectionnez Entier.
    • Valeur : Entrez 1 pour configurer LSASS de sorte qu’il s’exécute en tant que processus protégé avec le verrou UEFI, ou 2 pour configurer LSASS de sorte qu’il s’exécute en tant que processus protégé sans verrou UEFI.
  7. Sélectionnez Enregistrer, puis sélectionnez Suivant.
  8. Dans la page Affectations, configurez les affectations et sélectionnez Suivant.
  9. Dans la page Règles d’applicabilité, configurez toutes les règles d’applicabilité et sélectionnez Suivant.
  10. Dans la page Vérifier + créer, vérifiez la configuration et sélectionnez Créer.
  11. Redémarrez l'ordinateur.

Pour plus d’informations sur ce fournisseur de service de configuration de stratégie, consultez LocalSecurityAuthority - ConfigureLsaProtectedProcess.

Désactiver la protection LSA

Vous pouvez désactiver la protection LSA à l’aide du Registre ou d’une stratégie de groupe locale. Si l’appareil utilise le démarrage sécurisé et que vous définissez la variable UEFI de la protection LSA dans le microprogramme, vous pouvez utiliser un outil pour supprimer la variable UEFI.

Désactiver en utilisant le Registre

  1. Ouvrez l’Éditeur du Registre RegEdit.exe et accédez à la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  2. Affectez la valeur "RunAsPPL"=dword:00000000 à la clé de Registre ou supprimez le DWORD.
  3. Si PPL a été activé avec une variable UEFI, utilisez l’outil d’exclusion de processus protégé LSA pour supprimer la variable UEFI.
  4. Redémarrez l'ordinateur.

Désactiver à l’aide d’une stratégie locale sur Windows 11 version 22H2 et ultérieure

  1. Ouvrez l’Éditeur de stratégie de groupe locale en entrant gpedit.msc.
  2. Développez Configuration ordinateur>Modèles d’administration>Système>Autorité de sécurité locale.
  3. Ouvrez la stratégie Configurer LSASS pour qu’il s’exécute en tant que processus protégé.
  4. Définissez la stratégie sur Activé.
  5. Sous Options, sélectionnez Désactivé.
  6. Sélectionnez OK.
  7. Redémarrez l'ordinateur.

Remarque

Si vous définissez cette stratégie sur Non configuré et que la stratégie était activée, le paramétrage antérieur reste en vigueur. Vous devez définir la stratégie sur Désactivé sous la liste déroulante Options pour désactiver la fonctionnalité.

Supprimer la variable UEFI de la protection LSA

Vous pouvez utiliser l’outil de désactivation du processus protégé LSA (Local Security Authority) (LSAPPLConfig) du Centre de téléchargement Microsoft pour supprimer la variable UEFI si l’appareil utilise le démarrage sécurisé.

Remarque

Le Centre de téléchargement propose deux fichiers nommés LsaPplConfig.efi. Le fichier plus petit est destiné aux systèmes x86, tandis que le fichier plus grand est destiné aux systèmes x64.

Pour plus d'informations sur la gestion du démarrage sécurisé, voir Microprogramme UEFI.

Avertissement

Lorsque le démarrage sécurisé est désactivé, toutes les configurations liées au démarrage sécurisé et à UEFI sont réinitialisées. Vous ne devez désactiver le démarrage sécurisé que lorsque tous les autres moyens de désactivation de la protection LSA ont échoué.

Vérifier la protection LSA

Pour déterminer si LSA a démarré en mode protégé lors du démarrage de Windows, recherchez dans l’observateur d’événements dans les Journaux Windows>Système l’événement WinInit suivant :

  • 12 : LSASS.exe a démarré en tant que processus protégé avec le niveau : 4

LSA et Credential Guard

La protection LSA est une fonctionnalité de sécurité qui défend les informations sensibles telles que les informations d’identification contre le vol en bloquant l’injection de code LSA non approuvée et le vidage de la mémoire. La protection LSA s’exécute en arrière-plan en isolant le processus LSA dans un conteneur et en empêchant d’autres processus, tels que les applications ou les acteurs malveillants, d’accéder à la fonctionnalité. Avec cette isolation, la protection LSA devient une fonctionnalité de sécurité vitale, c’est pourquoi elle est activée par défaut dans Windows 11.

À compter de Windows 10, Credential Guard permet aussi d’empêcher les vols d’informations d’identification en protégeant les hachages de mot de passe NTLM, les tickets TGT (Ticket Granting Ticket) Kerberos et les informations d’identification stockées par les applications en tant qu’informations d’identification de domaine. Kerberos, NTLM et le Gestionnaire d’informations d’identification isolent les secrets à l’aide de la sécurité basée sur la virtualisation (VBS).

Avec Credential Guard activé, le processus LSA communique avec un composant appelé « processus LSA isolé », ou LSAIso.exe, qui stocke et protège les secrets. Les données stockées par le processus LSA isolé sont protégées à l’aide de VBS et ne sont pas accessibles au reste du système d’exploitation. L’autorité de sécurité locale utilise des appels de procédure distante pour communiquer avec le processus LSA isolé.

À compter de Windows 11 version 22H2, VBS et Credential Guard sont activés par défaut sur tous les appareils qui répondent à la configuration système requise. Credential Guard est pris en charge sur les appareils avec démarrage sécurisé 64 bits uniquement. La protection LSA et Credential Guard sont complémentaires, et les systèmes qui prennent en charge Credential Guard ou qui l’ont activé par défaut peuvent également activer et utiliser la protection LSA. Pour plus d’informations sur Credential Guard, consultez Vue d’ensemble de Credential Guard.

Plus de ressources