Mengonfigurasi perlindungan LSA yang ditambahkan

Artikel ini menjelaskan cara mengonfigurasi perlindungan tambahan untuk proses Otoritas Keamanan Lokal (LSA) untuk mencegah injeksi kode yang dapat membahayakan kredensial.

LSA, yang mencakup proses Local Security Authority Server Service (LSASS), memvalidasi pengguna untuk masuk lokal dan jarak jauh dan memberlakukan kebijakan keamanan lokal. Dimulai dengan Windows 8.1 dan yang lebih baru, perlindungan tambahan untuk LSA disediakan untuk mencegah pembacaan memori dan injeksi kode oleh proses yang tidak terlindungi. Fitur ini menyediakan keamanan tambahan untuk kredensial yang disimpan dan dikelola LSA. Perlindungan lebih lanjut dicapai saat menggunakan kunci UEFI dan Boot Aman, karena menonaktifkan kunci registri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa tidak berpengaruh.

Persyaratan proses yang dilindungi untuk plug-in atau driver

Agar plug-in atau driver LSA berhasil dimuat sebagai proses yang dilindungi, plug-in LSA harus memenuhi kriteria berikut:

Verifikasi tanda tangan

Mode terproteksi memerlukan plug-in apa pun yang dimuat ke dalam LSA untuk ditandatangani secara digital dengan tanda tangan Microsoft. Plug-in apa pun yang tidak ditandatangani atau tidak ditandatangani dengan tanda tangan Microsoft gagal dimuat di LSA. Contoh plug-in adalah driver kartu pintar, plug-in kriptografi, dan filter kata sandi.

• Plug-in LSA yang merupakan driver, seperti driver kartu pintar, perlu ditandatangani dengan menggunakan Sertifikasi WHQL. Untuk informasi selengkapnya, lihat Tanda Tangan Rilis WHQL.
• Plug-in LSA yang tidak memiliki proses Sertifikasi WHQL harus ditandatangani dengan menggunakan layanan penandatanganan file untuk LSA.

Panduan proses Kepatuhan terhadap Microsoft Security Development Lifecycle (SDL)

• Semua plug-in harus sesuai dengan panduan proses SDL yang berlaku. Untuk informasi selengkapnya, lihat Microsoft Security Development Lifecycle (SDL) – Panduan Proses.
• Bahkan jika plug-in ditandatangani dengan benar dengan tanda tangan Microsoft, ketidakpatuhan dengan proses SDL dapat mengakibatkan kegagalan untuk memuat plug-in.

Praktik yang direkomendasikan

Gunakan daftar berikut untuk menguji secara menyeluruh mengaktifkan perlindungan LSA sebelum Anda menyebarkan fitur secara luas:

• Identifikasi semua plug-in dan driver LSA yang digunakan organisasi Anda. Sertakan driver atau plug-in non-Microsoft seperti driver kartu pintar dan plug-in kriptografi, dan perangkat lunak apa pun yang dikembangkan secara internal yang digunakan untuk memberlakukan filter kata sandi atau pemberitahuan perubahan kata sandi.
• Pastikan bahwa semua plug-in LSA ditandatangani secara digital dengan sertifikat Microsoft sehingga tidak gagal dimuat di bawah perlindungan LSA.
• Pastikan bahwa semua plug-in yang ditandatangani dengan benar dapat berhasil dimuat ke LSA dan bahwa plug-in tersebut berfungsi seperti yang diharapkan.
• Gunakan log audit untuk mengidentifikasi plug-in dan driver LSA yang gagal dijalankan sebagai proses yang dilindungi.

Batasan mengaktifkan perlindungan LSA

Jika perlindungan LSA yang ditambahkan diaktifkan, Anda tidak dapat men-debug plug-in LSA kustom. Anda tidak dapat melampirkan debugger ke LSASS saat proses tersebut dilindungi. Secara umum, tidak ada cara yang didukung untuk men-debug proses yang dilindungi yang sedang berjalan.

Audit untuk plug-in dan driver LSA yang tidak akan dimuat sebagai proses yang dilindungi

Sebelum Anda mengaktifkan perlindungan LSA, gunakan mode audit untuk mengidentifikasi plug-in dan driver LSA yang akan gagal dimuat dalam mode terproteksi LSA. Saat dalam mode audit, sistem menghasilkan log peristiwa yang mengidentifikasi semua plug-in dan driver yang gagal dimuat di bawah LSA jika perlindungan LSA diaktifkan. Pesan dicatat tanpa benar-benar memblokir plug-in atau driver.

Peristiwa yang dijelaskan di bagian ini terletak di Pemantau Peristiwa di log Operasional di bawah Log>Aplikasi dan Layanan Microsoft>Windows>CodeIntegrity. Peristiwa ini dapat membantu Anda mengidentifikasi plug-in dan driver LSA yang gagal dimuat karena alasan penandatanganan. Untuk mengelola peristiwa ini, Anda dapat menggunakan alat baris perintah wevtutil . Untuk informasi tentang alat ini, lihat Wevtutil.

Penting

Peristiwa audit tidak dihasilkan jika Smart App Control diaktifkan di perangkat. Untuk memeriksa atau mengubah status pengaktifan Smart App Control, buka Aplikasi Keamanan Windows dan buka halaman Kontrol aplikasi &browser. Pilih Pengaturan Smart App Control untuk memeriksa status pengaktifan, dan ubah konfigurasi menjadi Nonaktif jika Anda mencoba mengaudit perlindungan LSA yang ditambahkan.

Catatan

Mode audit untuk perlindungan LSA tambahan diaktifkan secara default pada perangkat yang menjalankan Windows 11 versi 22H2 dan yang lebih tinggi. Jika perangkat Anda menjalankan build ini atau yang lebih baru, tidak ada tindakan lain yang diperlukan untuk mengaudit perlindungan LSA yang ditambahkan.

Mengaktifkan mode audit untuk LSASS.exe pada satu komputer

1. Buka Editor Registri (RegEdit.exe) dan navigasikan ke kunci registri di HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
2. Atur nilai kunci registri ke AuditLevel=dword:00000008.
3. Mulai ulang komputer.

Setelah mengambil langkah-langkah ini, analisis hasil peristiwa 3065 dan peristiwa 3066. Di Pemantau Peristiwa, periksa peristiwa ini di log Operasional di bawah Log>Aplikasi dan Layanan Microsoft>Windows>CodeIntegrity.

• Peristiwa 3065 mencatat bahwa pemeriksaan integritas kode menentukan bahwa proses, biasanya LSASS.exe, mencoba memuat driver yang tidak memenuhi persyaratan keamanan untuk Bagian Bersama. Namun, karena kebijakan sistem yang saat ini ditetapkan, gambar diizinkan untuk dimuat.
• Peristiwa 3066 mencatat bahwa pemeriksaan integritas kode menentukan bahwa proses, biasanya LSASS.exe, mencoba memuat driver yang tidak memenuhi persyaratan tingkat penandatanganan Microsoft. Namun, karena kebijakan sistem yang saat ini ditetapkan, gambar diizinkan untuk dimuat.

Jika plug-in atau driver berisi Bagian Bersama, Peristiwa 3066 dicatat dengan Peristiwa 3065. Menghapus Bagian Bersama harus mencegah kedua peristiwa terjadi kecuali plug-in tidak memenuhi persyaratan tingkat penandatanganan Microsoft.

Penting

Peristiwa operasional ini tidak dihasilkan ketika debugger kernel dilampirkan dan diaktifkan pada sistem.

Mengaktifkan mode audit untuk LSASS.exe di beberapa komputer

Untuk mengaktifkan mode audit untuk beberapa komputer di domain, Anda dapat menggunakan Ekstensi Sisi Klien Registri untuk Kebijakan Grup untuk menyebarkan nilai registri tingkat audit LSASS.exe. Anda perlu mengubah HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe kunci registri.

1. Buka Konsol Manajemen Kebijakan Grup (GPMC) dengan memasukkan gpmc.msc dalam kotak dialog Jalankan atau pilih Konsol Manajemen Kebijakan Grup dari menu Mulai.
2. Buat Objek Kebijakan Grup (GPO) baru yang ditautkan di tingkat domain atau ditautkan ke unit organisasi yang berisi akun komputer Anda. Atau, pilih GPO yang sudah disebarkan.
3. Klik kanan GPO, lalu pilih Edit untuk membuka Editor Manajemen Kebijakan Grup.
4. Perluas Pengaturan Windows Preferensi>Konfigurasi>Komputer.
5. Klik kanan Registri, arahkan ke Baru, lalu pilih Item Registri. Kotak dialog Properti Registri Baru muncul.
6. Di daftar Apache Hive, pilih HKEY_LOCAL_MACHINE.
7. Di daftar Jalur Kunci, telusuri ke SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
8. Dalam kotak Nama nilai, ketik AuditLevel.
9. Dalam kotak Jenis nilai, pilih REG_DWORD.
10. Dalam kotak Data nilai, ketik 00000008.
11. Pilih OK.

Catatan

Agar GPO berlaku, perubahan GPO harus direplikasi ke semua pengendali domain di domain.

Untuk ikut serta dalam menambahkan perlindungan LSA di beberapa komputer, Anda dapat menggunakan Ekstensi Sisi Klien Registri untuk Kebijakan Grup untuk memodifikasi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Untuk petunjuknya, lihat Mengonfigurasi perlindungan kredensial LSA yang ditambahkan nanti di artikel ini.

Mengidentifikasi plug-in dan driver yang LSASS.exe gagal dimuat

Ketika perlindungan LSA diaktifkan, sistem menghasilkan log peristiwa yang mengidentifikasi semua plug-in dan driver yang gagal dimuat di bawah LSA. Setelah memilih untuk menambahkan perlindungan LSA, Anda dapat menggunakan log peristiwa untuk mengidentifikasi plug-in dan driver LSA yang gagal dimuat dalam mode perlindungan LSA.

Periksa peristiwa berikut di Pemantau Peristiwa Log>Aplikasi dan Layanan Microsoft>Windows>CodeIntegrity>Operational:

• Peristiwa 3033 mencatat bahwa pemeriksaan integritas kode menentukan bahwa proses, biasanya LSASS.exe, mencoba memuat driver yang tidak memenuhi persyaratan tingkat penandatanganan Microsoft.
• Peristiwa 3063 mencatat bahwa pemeriksaan integritas kode menentukan bahwa proses, biasanya LSASS.exe, mencoba memuat driver yang tidak memenuhi persyaratan keamanan untuk Bagian Bersama.

Bagian Bersama biasanya merupakan hasil dari teknik pemrograman yang memungkinkan data instans berinteraksi dengan proses lain yang menggunakan konteks keamanan yang sama, yang dapat menciptakan kerentanan keamanan.

Mengaktifkan dan mengonfigurasi perlindungan kredensial LSA yang ditambahkan

Anda dapat mengonfigurasi perlindungan LSA yang ditambahkan untuk perangkat yang menjalankan Windows 8.1 atau yang lebih baru, atau Windows Server 2012 R2 atau yang lebih baru, dengan menggunakan prosedur di bagian ini.

Perangkat yang menggunakan Boot Aman dan UEFI

Saat Anda mengaktifkan perlindungan LSA pada perangkat berbasis x86 atau x64 yang menggunakan Boot Aman atau UEFI, Anda dapat menyimpan variabel UEFI di firmware UEFI dengan menggunakan kunci atau kebijakan registri. Ketika diaktifkan dengan kunci UEFI, LSASS berjalan sebagai proses yang dilindungi dan pengaturan ini disimpan dalam variabel UEFI di firmware.

Saat pengaturan disimpan di firmware, variabel UEFI tidak dapat dihapus atau diubah untuk mengonfigurasi perlindungan LSA yang ditambahkan dengan memodifikasi registri atau berdasarkan kebijakan. Variabel UEFI harus diatur ulang dengan menggunakan instruksi di Hapus variabel UEFI perlindungan LSA.

Saat diaktifkan tanpa kunci UEFI, LSASS berjalan sebagai proses yang dilindungi dan pengaturan ini tidak disimpan dalam variabel UEFI. Pengaturan ini diterapkan secara default pada perangkat dengan penginstalan baru Windows 11 versi 22H2 atau yang lebih baru.

Pada perangkat berbasis x86 atau berbasis x64 yang tidak mendukung UEFI atau di mana Boot Aman dinonaktifkan, Anda tidak dapat menyimpan konfigurasi untuk perlindungan LSA di firmware. Perangkat ini hanya mengandalkan keberadaan kunci registri. Dalam skenario ini, dimungkinkan untuk menonaktifkan perlindungan LSA dengan menggunakan akses jarak jauh ke perangkat. Penonaktifan perlindungan LSA tidak berlaku sampai perangkat di-boot ulang.

Pengaktifan otomatis

Untuk perangkat klien yang menjalankan Windows 11 versi 22H2 dan yang lebih baru, perlindungan LSA yang ditambahkan diaktifkan secara default jika kriteria berikut terpenuhi:

• Perangkat ini adalah penginstalan baru Windows 11 versi 22H2 atau yang lebih baru, tidak ditingkatkan dari rilis sebelumnya.
• Perangkat bergabung dengan perusahaan (domain Direktori Aktif bergabung, domain Microsoft Entra bergabung, atau domain Microsoft Entra hibrid bergabung).
• Perangkat ini mampu melindungi integritas kode Hypervisor (HVCI).

Pengaktifan otomatis perlindungan LSA yang ditambahkan pada Windows 11 versi 22H2 dan yang lebih baru tidak mengatur variabel UEFI untuk fitur tersebut. Jika Anda ingin mengatur variabel UEFI, Anda dapat menggunakan konfigurasi atau kebijakan registri.

Catatan

Untuk perangkat yang menjalankan Windows RT 8.1, perlindungan LSA yang ditambahkan selalu diaktifkan, dan tidak dapat dinonaktifkan.

Mengaktifkan perlindungan LSA pada satu komputer

Anda dapat mengaktifkan perlindungan LSA pada satu komputer dengan menggunakan registri atau dengan menggunakan Kebijakan Grup Lokal.

Aktifkan dengan menggunakan registri

1. Buka RegEdit.exe Editor Registri, dan navigasikan ke kunci registri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
2. Atur nilai kunci registri ke:
   • "RunAsPPL"=dword:00000001 untuk mengonfigurasi fitur dengan variabel UEFI.
   • "RunAsPPL"=dword:00000002 untuk mengonfigurasi fitur tanpa variabel UEFI, hanya diberlakukan pada Windows 11 build 22H2 dan yang lebih tinggi.
3. Mulai ulang komputer.

Aktifkan dengan menggunakan Kebijakan Grup Lokal pada Windows 11 versi 22H2 dan yang lebih baru

1. Buka Editor Kebijakan Grup Lokal dengan memasukkan gpedit.msc.
2. Perluas Templat>Administratif Konfigurasi>Komputer Otoritas Keamanan Lokal Sistem.>
3. Buka konfigurasi LSASS untuk dijalankan sebagai kebijakan proses yang dilindungi.
4. Atur kebijakan ke Diaktifkan.
5. Di bawah Opsi, pilih salah satu opsi berikut.
   • Diaktifkan dengan UEFI Lock untuk mengonfigurasi fitur dengan variabel UEFI.
   • Diaktifkan tanpa Kunci UEFI untuk mengonfigurasi fitur tanpa variabel UEFI.
6. Pilih OK.
7. Mulai ulang komputer.

Mengaktifkan perlindungan LSA dengan menggunakan Kebijakan Grup

1. Buka GPMC dengan memasukkan gpmc.msc dalam kotak dialog Jalankan atau pilih Konsol Manajemen Kebijakan Grup dari menu Mulai.
2. Buat GPO baru yang ditautkan di tingkat domain atau ditautkan ke unit organisasi yang berisi akun komputer Anda. Atau, pilih GPO yang sudah disebarkan.
3. Klik kanan GPO, lalu pilih Edit untuk membuka Editor Manajemen Kebijakan Grup.
4. Perluas Pengaturan Windows Preferensi>Konfigurasi>Komputer.
5. Klik kanan Registri, arahkan ke Baru, lalu pilih Item Registri. Kotak dialog Properti Registri Baru muncul.
6. Di daftar Apache Hive, pilih HKEY_LOCAL_MACHINE.
7. Di daftar Jalur Kunci, telusuri ke SYSTEM\CurrentControlSet\Control\Lsa.
8. Dalam kotak Nama nilai, ketik RunAsPPL.
9. Dalam kotak Jenis nilai, pilih REG_DWORD.
10. Dalam kotak Data nilai, ketik:
    • 00000001 untuk mengaktifkan perlindungan LSA dengan variabel UEFI.
    • 00000002 untuk mengaktifkan perlindungan LSA tanpa variabel UEFI, hanya diberlakukan pada Windows 11 versi 22H2 dan yang lebih baru.
11. Pilih OK.

Mengaktifkan perlindungan LSA dengan membuat profil konfigurasi perangkat kustom

Untuk perangkat yang menjalankan Windows 11 versi 22H2 dan yang lebih baru, Anda dapat mengaktifkan dan mengonfigurasi perlindungan LSA dengan membuat profil konfigurasi perangkat kustom di pusat admin Microsoft Intune.

1. Di pusat admin Intune, navigasikan ke profil Konfigurasi Windows>Perangkat>dan pilih Buat profil.
2. Pada layar Buat profil, pilih opsi berikut ini:
   • Platform: Windows 10 dan yang lebih baru
   • Jenis profil: Pilih Templat, lalu pilih Kustom.
3. Pilih Buat.
4. Pada layar Dasar, masukkan Nama dan Deskripsi opsional untuk profil, lalu pilih Berikutnya.
5. Pada layar Pengaturan konfigurasi, pilih Tambahkan.
6. Pada layar Tambahkan baris, berikan informasi berikut ini:
   • Nama: Berikan nama untuk pengaturan OMA-URI.
   • OMA-URI: Masukkan ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
   • Jenis data: Pilih Bilangan bulat.
   • Nilai: Masukkan 1 untuk mengonfigurasi LSASS agar berjalan sebagai proses yang dilindungi dengan kunci UEFI, atau 2 untuk mengonfigurasi LSASS agar berjalan sebagai proses yang dilindungi tanpa kunci UEFI.
7. Pilih Simpan, lalu pilih Berikutnya.
8. Pada halaman Penugasan , konfigurasikan tugas, lalu pilih Berikutnya.
9. Pada halaman Aturan Penerapan, konfigurasikan aturan penerapan apa pun, lalu pilih Berikutnya.
10. Pada halaman Tinjau + buat , verifikasi konfigurasi, lalu pilih Buat.
11. Mulai ulang komputer.

Untuk informasi selengkapnya tentang CSP Kebijakan ini, lihat LocalSecurityAuthority - ConfigureLsaProtectedProcess.

Menonaktifkan perlindungan LSA

Anda dapat menonaktifkan perlindungan LSA dengan menggunakan registri atau dengan menggunakan Kebijakan Grup Lokal. Jika perangkat menggunakan Boot Aman dan Anda mengatur variabel UEFI perlindungan LSA di firmware, Anda dapat menggunakan alat untuk menghapus variabel UEFI.

Nonaktifkan dengan menggunakan registri

1. Buka Editor Registri, RegEdit.exe, dan navigasikan ke kunci registri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
2. Atur nilai kunci registri ke "RunAsPPL"=dword:000000000, atau hapus DWORD.
3. Jika PPL diaktifkan dengan variabel UEFI, gunakan alat Local Security Authority Protected Process Opt-out untuk menghapus variabel UEFI.
4. Mulai ulang komputer.

Nonaktifkan dengan menggunakan kebijakan lokal pada Windows 11 versi 22H2 dan yang lebih baru

1. Buka Editor Kebijakan Grup Lokal dengan memasukkan gpedit.msc.
2. Perluas Templat>Administratif Konfigurasi>Komputer Otoritas Keamanan Lokal Sistem.>
3. Buka konfigurasi LSASS untuk dijalankan sebagai kebijakan proses yang dilindungi.
4. Atur kebijakan ke Diaktifkan.
5. Di bawah Opsi, pilih Dinonaktifkan.
6. Pilih OK.
7. Mulai ulang komputer.

Catatan

Jika Anda mengatur kebijakan ini ke Tidak Dikonfigurasi dan kebijakan sebelumnya diaktifkan, pengaturan sebelumnya tidak dibersihkan dan terus diberlakukan. Anda harus mengatur kebijakan ke Dinonaktifkan di bawah menu dropdown Opsi untuk menonaktifkan fitur.

Menghapus variabel UEFI perlindungan LSA

Anda dapat menggunakan alat Local Security Authority (LSA) Protected Process Opt-out (LSAPPLConfig) dari Pusat Unduhan Microsoft untuk menghapus variabel UEFI jika perangkat menggunakan Boot Aman.

Catatan

Pusat Unduhan menawarkan dua file bernama LsaPplConfig.efi. File yang lebih kecil adalah untuk sistem berbasis x86 dan file yang lebih besar adalah untuk sistem berbasis x64.

Untuk informasi selengkapnya tentang mengelola Boot Aman, lihat Firmware UEFI.

Perhatian

Saat Boot Aman dimatikan, semua konfigurasi terkait Boot Aman dan UEFI diatur ulang. Anda harus menonaktifkan Boot Aman hanya ketika semua cara lain untuk menonaktifkan perlindungan LSA telah gagal.

Memverifikasi perlindungan LSA

Untuk menentukan apakah LSA dimulai dalam mode terproteksi ketika Windows dimulai, periksa Sistem Log>Windows di Pemantau Peristiwa untuk peristiwa WinInit berikut:

• 12: LSASS.exe dimulai sebagai proses yang dilindungi dengan tingkat: 4

LSA dan Credential Guard

Perlindungan LSA adalah fitur keamanan yang mempertahankan informasi sensitif seperti info masuk dari pencurian dengan memblokir injeksi kode LSA yang tidak tepercaya dan memproses pembuangan memori. Perlindungan LSA berjalan di latar belakang dengan mengisolasi proses LSA dalam kontainer dan mencegah proses lain, seperti aktor atau aplikasi berbahaya, mengakses fitur. Isolasi ini menjadikan Perlindungan LSA sebagai fitur keamanan penting, itulah sebabnya fitur ini diaktifkan secara default di Windows 11.

Mulai Windows 10, Credential Guard juga membantu mencegah serangan pencurian info masuk dengan melindungi hash kata sandi NTLM, Tiket Pemberian Tiket Kerberos (TGT), dan kredensial yang disimpan oleh aplikasi sebagai info masuk domain. Kerberos, NTLM, dan Credential Manager mengisolasi rahasia dengan menggunakan keamanan berbasis virtualisasi (VBS).

Dengan Credential Guard diaktifkan, proses LSA berbicara dengan komponen yang disebut proses LSA terisolasi, atau LSAIso.exe, yang menyimpan dan melindungi rahasia. Data yang disimpan oleh proses LSA terisolasi dilindungi dengan menggunakan VBS dan tidak dapat diakses oleh sistem operasi lainnya. LSA menggunakan panggilan prosedur jarak jauh untuk berkomunikasi dengan proses LSA yang terisolasi.

Mulai Windows 11 versi 22H2, VBS dan Credential Guard diaktifkan secara default di semua perangkat yang memenuhi persyaratan sistem. Credential Guard hanya didukung pada perangkat Boot Aman 64-bit. Perlindungan LSA dan Credential Guard adalah pelengkap, dan sistem yang mendukung Credential Guard atau mengaktifkannya secara default juga dapat mengaktifkan dan mendapatkan manfaat dari perlindungan LSA. Untuk informasi selengkapnya tentang Credential Guard, lihat Gambaran umum Credential Guard.

Sumber daya lainnya

• Perlindungan dan manajemen kredensial
• Pusat Mitra untuk Perangkat Keras Windows