Configurare l'aggiunta della protezione LSA

Questo articolo illustra come configurare la protezione aggiunta per il processo LSA (Local Security Authority) per impedire l'inserimento di codice che può compromettere le credenziali.

LSA, che include il processo LSAS (Local Security Authority Server Service), convalida gli utenti per gli accessi locali e remoti e applica i criteri di sicurezza locali. In Windows 8.1 e versioni successive viene aggiunta la protezione per LSA per impedire ai processi non protetti di leggere la memoria e inserire codice. Questa funzionalità offre una maggiore sicurezza per le credenziali archiviate e gestite da LSA. È possibile ottenere una maggiore protezione quando si usa il blocco UEFI (Unified Extensible Firmware Interface) e l'avvio protetto. Quando queste impostazioni sono abilitate, la disabilitazione della chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa non ha alcun effetto.

Requisiti dei processi protetti per plug-in o driver

Affinché un plug-in O driver LSA venga caricato correttamente come processo protetto, deve soddisfare i criteri nelle due sezioni seguenti.

Verifica della firma

La modalità protetta richiede che qualsiasi plug-in caricato in LSA venga firmato digitalmente con una firma Microsoft. Tutti i plug-in non firmati o non firmati con una firma Microsoft non vengono caricati in LSA. Esempi di plug-in sono driver per smart card, plug-in crittografici e filtri per password.

• I plug-in LSA che sono driver, ad esempio i driver di smart card, devono essere firmati tramite la certificazione WHQL (Windows Hardware Quality Labs). Per ulteriori informazioni, vedere Firma di rilascio WHQL.
• I plug-in LSA che non dispongono di un processo di certificazione WHQL devono essere firmati usando il servizio di firma file per LSA.

Conformità alle linee guida per il processo Microsoft Security Development Lifecycle (SDL)

• Tutti i plug-in devono essere conformi alle linee guida del processo SDL applicabili. Per altre informazioni, vedere Microsoft Security Development Lifecycle (SDL) - Linee guida per i processi.
• Anche se i plug-in sono firmati correttamente con una firma Microsoft, la mancata conformità con il processo SDL può causare un errore di caricamento di un plug-in.

Procedure consigliate

Usare l'elenco seguente per testare accuratamente l'abilitazione della protezione LSA prima di distribuire la funzionalità su larga scala:

• Identificare tutti i plug-in e i driver LSA usati dall'organizzazione. Includere driver o plug-in non Microsoft, ad esempio driver di smart card e plug-in di crittografia, e qualsiasi software sviluppato internamente usato per applicare filtri password o notifiche di modifica delle password.
• Assicurarsi che tutti i plug-in LSA siano firmati digitalmente con un certificato Microsoft affinché non falliscano il caricamento sotto la protezione LSA.
• Assicurarsi che tutti i plug-in firmati correttamente possano essere caricati correttamente in LSA e che eseguano come previsto.
• Usare i log di controllo per identificare eventuali plug-in e driver LSA che non vengono eseguiti come processo protetto.

Limitazioni dell'abilitazione della protezione LSA

Se è abilitata la protezione LSA aggiunta, non è possibile eseguire il debug di un plug-in LSA personalizzato. Non è possibile collegare un debugger a LSASS quando si tratta di un processo protetto. In generale, non è possibile eseguire il debug di un processo protetto in esecuzione.

Controllare i plug-in e i driver LSA che non vengono caricati come processo protetto

Prima di abilitare la protezione LSA, usare la modalità di controllo per identificare i plug-in e i driver LSA che non vengono caricati in modalità protetta LSA. In modalità di controllo, il sistema genera registri eventi che identificano tutti i plug-in e i driver che non vengono caricati in LSA se la protezione LSA è abilitata. I messaggi vengono registrati senza bloccare effettivamente i plug-in o i driver.

Gli eventi descritti in questa sezione vengono registrati nel Visualizzatore eventi nel log Operativo in Registri delle applicazioni e dei servizi>Microsoft>Windows>CodeIntegrity. Questi eventi consentono di identificare i plug-in e i driver LSA che non vengono caricati a causa di motivi di firma. Per gestire questi eventi, è possibile usare lo strumento da riga di comando wevtutil. Per informazioni su questo strumento, vedere Wevtutil.

Importante

Gli eventi di controllo non vengono generati se Controllo App Intelligente è abilitato su un dispositivo. Per controllare o modificare lo stato di Smart App Control, aprire l'applicazione Sicurezza di Windows e passare alla pagina di controllo app e browser . Selezionare Smart App Control settings (Impostazioni controllo app intelligenti ) per verificare se Smart App Control è abilitato. Se si vuole controllare la protezione LSA aggiunta, impostare la configurazione su Disattivato.

Nota

La modalità di controllo per la protezione LSA aggiunta è abilitata per impostazione predefinita nei dispositivi che eseguono Windows 11 versione 22H2 e successive. Se il dispositivo esegue questa compilazione o versione successiva, non sono necessarie altre azioni per controllare la protezione LSA aggiunta.

Abilitare la modalità di controllo per LSASS.exe in un singolo computer

1. Aprire l'editor del Registro di sistema oppure immettere RegEdit.exe nella finestra di dialogo Esegui e quindi passare alla chiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
2. Aprire il valore AuditLevel . Impostare il tipo di dati su dword e il valore dati su 00000008.
3. Riavviare il computer.

Dopo aver eseguito questi passaggi, cercare gli eventi con gli ID seguenti: 3065 e 3066. Per verificare la presenza di questi eventi, aprire Visualizzatore eventi e quindi espandere Registri applicazioni e servizi Microsoft>>Windows>CodeIntegrity>Operational.

• L'evento 3065 si verifica quando un controllo di integrità del codice determina che un processo, in genere LSASS.exe, tenta di caricare un driver che non soddisfa i requisiti di sicurezza per le sezioni condivise. Tuttavia, a causa dei criteri di sistema attualmente impostati, l'immagine può essere caricata.
• L'evento 3066 si verifica quando un controllo di integrità del codice determina che un processo, in genere LSASS.exe, tenta di caricare un driver che non soddisfa i requisiti del livello di firma Microsoft. Tuttavia, a causa dei criteri di sistema attualmente impostati, l'immagine può essere caricata.

Se un plug-in o un driver contiene sezioni condivise, l'evento 3066 viene registrato con l'evento 3065. La rimozione delle sezioni condivise dovrebbe impedire che si verifichino entrambi gli eventi a meno che il plug-in non soddisfi i requisiti del livello di firma Microsoft.

Importante

Questi eventi operativi non vengono generati quando un debugger del kernel è collegato e abilitato in un sistema.

Abilitare la modalità di controllo per LSASS.exe su più computer

Per abilitare la modalità audit per più computer in un dominio, è possibile utilizzare l'estensione lato client del Registro di sistema per i Criteri di gruppo per distribuire il valore di registro LSASS.exe relativo al livello di audit. È necessario modificare la chiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

1. Aprire la Console Gestione Criteri di gruppo immettendo gpmc.msc nella finestra di dialogo Esegui o selezionando Console Gestione Criteri di gruppo dal menu Start .
2. Creare un nuovo oggetto Criteri di gruppo (GPO) collegato a livello di dominio oppure collegato all'unità organizzativa che contiene gli account computer. In alternativa, selezionare un oggetto GPO (Criteri di gruppo) già distribuito.
3. Fare clic con il pulsante destro del mouse sul GPO e quindi selezionare Modifica per aprire l'Editor Gestione Criteri di gruppo.
4. Espandi Configurazione del computer>Preferenze>Impostazioni di Windows.
5. Fare clic con il pulsante destro del mouse su Registro di sistema, scegliere Nuovoe quindi selezionare elemento del Registro di sistema. Verrà visualizzata la finestra di dialogo Nuove proprietà del Registro di sistema .
6. Nella finestra di dialogo Nuove proprietà del Registro di sistema selezionare o immettere i valori seguenti:
   • Selezionare Hive, HKEY_LOCAL_MACHINE.
   • In Percorso chiave selezionare SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
   • In Nome valore, immettere AuditLevel.
   • In Tipo valore selezionare REG_DWORD.
   • In Dati valore immettere 00000008.
7. Seleziona OK.

Nota

Affinché l'oggetto Criteri di gruppo venga applicato, la modifica dell'oggetto Criteri di gruppo deve essere replicata in tutti i controller di dominio all'interno del dominio.

Per optare per l'aggiunta della protezione LSA su più computer, è possibile usare l'estensione client del Registro di sistema per i Criteri di gruppo per modificare HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Per istruzioni, vedere Abilitare e configurare la protezione delle credenziali LSA aggiunte più avanti in questo articolo.

Identificare i plug-in e i driver che LSASS.exe non riesce a caricare

Quando la protezione LSA è abilitata, il sistema genera registri eventi che identificano tutti i plug-in e i driver che non vengono caricati in LSA. Dopo aver acconsentito esplicitamente all'aggiunta della protezione LSA, è possibile usare il registro eventi per identificare i plug-in e i driver LSA che non vengono caricati in modalità protezione LSA.

Verificare la presenza degli eventi seguenti nel Visualizzatore eventi espandendo Registri applicazioni e servizi di>Microsoft>Windows>CodeIntegrity>Operational:

• L'evento 3033 si verifica quando un controllo di integrità del codice determina che un processo, in genere LSASS.exe, tenta di caricare un driver che non soddisfa i requisiti del livello di firma Microsoft.
• L'evento 3063 si verifica quando un controllo di integrità del codice determina che un processo, in genere LSASS.exe, tenta di caricare un driver che non soddisfa i requisiti di sicurezza per le sezioni condivise.

Le sezioni condivise in genere generano quando le tecniche di programmazione consentono ai dati dell'istanza di interagire con altri processi che usano lo stesso contesto di sicurezza. Le sezioni condivise possono creare vulnerabilità di sicurezza.

Abilitare e configurare la protezione delle credenziali LSA aggiuntiva

È possibile configurare la protezione LSA aggiunta per i dispositivi che eseguono Windows 8.1 o versione successiva o Windows Server 2012 R2 o versione successiva usando le procedure descritte in questa sezione.

Dispositivi che usano l'avvio protetto e UEFI

Quando si abilita la protezione LSA nei dispositivi basati su x86 o x64 che usano l'avvio protetto o UEFI, è possibile archiviare una variabile UEFI nel firmware UEFI usando una chiave o un criterio del Registro di sistema. Se abilitato con il blocco UEFI, LSASS viene eseguito come processo protetto e questa impostazione viene archiviata in una variabile UEFI nel firmware.

Quando l'impostazione viene archiviata nel firmware, la variabile UEFI non può essere eliminata o modificata per configurare la protezione LSA aggiunta modificando il Registro di sistema o per criterio. La variabile UEFI deve essere reimpostata usando le istruzioni in Rimuovere la variabile UEFI di protezione LSA.

Se abilitata senza un blocco UEFI, LSASS viene eseguita come processo protetto e questa impostazione non viene archiviata in una variabile UEFI. Questa impostazione viene applicata per impostazione predefinita nei dispositivi con una nuova installazione di Windows 11 versione 22H2 o successiva.

Nei dispositivi basati su x86 o x64 che non supportano UEFI o in cui l'avvio protetto è disabilitato, non è possibile archiviare la configurazione per la protezione LSA nel firmware. Questi dispositivi si basano esclusivamente sulla presenza della chiave del Registro di sistema. In questo scenario è possibile disabilitare la protezione LSA usando l'accesso remoto al dispositivo. La disabilitazione della protezione LSA non ha effetto fino al riavvio del dispositivo.

Abilitazione automatica

Per i dispositivi client che eseguono Windows 11 versione 22H2 e successive, la protezione LSA aggiunta è abilitata per impostazione predefinita se vengono soddisfatti i criteri seguenti:

• Il dispositivo è una nuova installazione di Windows 11 versione 22H2 o successiva, non aggiornata da una versione precedente.
• Il dispositivo è associato all'azienda (unito al dominio di Active Directory, unito al dominio Microsoft Entra o unito a un dominio ibrido di Microsoft Entra).
• Il dispositivo è in grado di garantire l'integrità del codice protetta dal hypervisor (HVCI).

L'abilitazione automatica della protezione LSA aggiunta in Windows 11 versione 22H2 e successive non imposta una variabile UEFI per la funzionalità. Se si vuole impostare una variabile UEFI, è possibile usare una configurazione o un criterio del Registro di sistema.

Abilitare la protezione LSA in un singolo computer

È possibile abilitare la protezione LSA in un singolo computer usando il Registro di sistema o i Criteri di gruppo locali.

Abilitare tramite il Registro di sistema

1. Aprire l'editor del Registro di sistema oppure immettere RegEdit.exe nella finestra di dialogo Esegui e quindi passare alla chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
2. Aprire il valore RunAsPPL e modificarne i dati:
   • Per configurare la funzionalità con una variabile UEFI, usare un tipo di dword e un valore di dati di 00000001.
   • Per configurare la funzionalità senza una variabile UEFI, usare un tipo di dword e un valore di dati di 00000002. Questo valore viene applicato solo in Windows 11 build 22H2 e versioni successive.
3. Riavviare il computer.

Abilitare tramite Criteri di gruppo locali in Windows 11 versione 22H2 e successive

1. Aprire l'Editor criteri di gruppo locale immettendo gpedit.msc nella finestra di dialogo Esegui.
2. Espandere Configurazione computer>Modelli amministrativi>Sistema>Autorità di sicurezza locale.
3. Aprire il criterio Configura LSASS per l'esecuzione come processo protetto.
4. Impostare il criterio su Attivato.
5. In Opzioni selezionare una delle opzioni seguenti:
   • Per configurare la funzionalità con una variabile UEFI, selezionare Abilitato con blocco UEFI.
   • Per configurare la funzionalità senza una variabile UEFI, selezionare Abilitato senza blocco UEFI.
6. Seleziona OK.
7. Riavviare il computer.

Abilitare la protezione LSA tramite Criteri di gruppo

1. Aprire la Console Gestione Criteri di gruppo immettendo gpmc.msc nella finestra di dialogo Esegui o selezionando Console Gestione Criteri di gruppo dal menu Start .
2. Creare un nuovo GPO collegato al livello di dominio o collegato all'unità organizzativa contenente gli account dei computer. In alternativa, selezionare un oggetto GPO (Criteri di gruppo) già distribuito.
3. Fare clic con il pulsante destro del mouse sul GPO e quindi selezionare Modifica per aprire l'Editor Gestione Criteri di gruppo.
4. Espandi Configurazione del computer>Preferenze>Impostazioni di Windows.
5. Fare clic con il pulsante destro del mouse su Registro di sistema, scegliere Nuovoe quindi selezionare elemento del Registro di sistema. Verrà visualizzata la finestra di dialogo Nuove proprietà del Registro di sistema .
6. Nella finestra di dialogo Nuove proprietà del Registro di sistema selezionare o immettere i valori seguenti:
   • Selezionare Hive, HKEY_LOCAL_MACHINE.
   • Per Percorso chiave selezionare SYSTEM\CurrentControlSet\Control\Lsa.
   • In Nome valore, immettere RunAsPPL.
   • In Tipo valore selezionare REG_DWORD.
   • In Dati valore immettere uno dei valori seguenti:
     • Per abilitare la protezione LSA con una variabile UEFI, immettere 00000001.
     • Per abilitare la protezione LSA senza una variabile UEFI, immettere 00000002. Questa impostazione viene applicata solo a Windows 11 versione 22H2 e successive.
7. Seleziona OK.

Abilitare la protezione LSA creando un profilo di configurazione del dispositivo personalizzato

Per i dispositivi che eseguono Windows 11 versione 22H2 e successive, è possibile eseguire la procedura descritta nelle sezioni seguenti per abilitare e configurare la protezione LSA. Questa procedura usa l'interfaccia di amministrazione di Microsoft Intune per creare un profilo di configurazione del dispositivo personalizzato.

Creare un profilo

1. Nell'interfaccia di amministrazione di Intune passare a Dispositivi>Profili di configurazione di> e quindi selezionare Crea profilo.
2. Nella schermata Crea un profilo selezionare le opzioni seguenti:
   • In Piattaforma, selezionare Windows 10 e versioni successive.
   • In Tipo di profilo selezionare Modelli e quindi selezionare Personalizzato.
3. Fare clic su Crea.
4. Nella schermata Informazioni di base immettere un nome e una descrizione facoltativa per il profilo e quindi selezionare Avanti.

Aggiungere le impostazioni di configurazione iniziali

1. Nella schermata delle impostazioni di configurazione , selezionare Aggiungi.
2. Nella schermata Aggiungi riga immettere le informazioni seguenti:
   • In Nome immettere un nome per l'impostazione Open Mobile Alliance - Uniform Resource (OMA-URI).
   • Per URI OMA immettere ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
   • In Tipo di dati selezionare Integer.
   • In Valore immettere uno dei valori seguenti:
     • Per configurare LSASS per l'esecuzione come processo protetto con blocco UEFI, immettere 1.
     • Per configurare LSASS per l'esecuzione come processo protetto senza blocco UEFI, immettere 2.
3. Selezionare Salvae quindi selezionare Avanti.

Completare la configurazione del profilo

1. Nella pagina Assegnazioni, configurare le assegnazioni e quindi selezionare Avanti.
2. Nella pagina regole di applicabilità, configurare le regole di applicabilità e quindi selezionare Avanti.
3. Nella pagina Rivedi e crea, verificare la configurazione e poi selezionare Crea.
4. Riavviare il computer.

Per altre informazioni su questo provider di servizi di configurazione dei criteri, vedere LocalSecurityAuthority - ConfigureLsaProtectedProcess.

Disabilitare la protezione LSA

È possibile disabilitare la protezione LSA tramite il Registro di sistema o tramite Criteri di gruppo locali. Se il dispositivo usa l'avvio protetto e si imposta la variabile UEFI di protezione LSA nel firmware, è possibile usare uno strumento per rimuovere la variabile UEFI.

Disabilitare usando il Registro di sistema

1. Aprire l'editor del Registro di sistema oppure immettere RegEdit.exe nella finestra di dialogo Esegui e quindi passare alla chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
2. Aprire il valore RunAsPPL e impostarne il valore di dati su 000000000. In alternativa, eliminare il valore RunAsPPL .
3. Se la funzionalità PPL (Protected Process Light) è stata abilitata con una variabile UEFI, usare lo strumento di rifiuto esplicito del processo protetto dell'autorità di sicurezza locale per rimuovere la variabile UEFI.
4. Riavviare il computer.

Disabilitare utilizzando i criteri locali su Windows 11 versione 22H2 e versioni successive

1. Aprire l'Editor criteri di gruppo locale immettendo gpedit.msc nella finestra di dialogo Esegui.
2. Espandere Configurazione computer>Modelli amministrativi>Sistema>Autorità di sicurezza locale.
3. Aprire il criterio Configura LSASS per l'esecuzione come processo protetto.
4. Impostare il criterio su Attivato.
5. In Opzioni selezionare Disabilitato.
6. Seleziona OK.
7. Riavviare il computer.

Nota

Se si imposta questo criterio su Non configurato e i criteri sono stati abilitati in precedenza, l'impostazione precedente non viene pulita e continua a essere applicata. È necessario impostare il criterio su Disabilitato nell'elenco a discesa Opzioni per disabilitare la funzionalità.

Rimuovere la variabile UEFI di protezione LSA

È possibile usare lo strumento di opt-out del processo protetto dell'Autorità di Sicurezza Locale (LSA) dall'Area download Microsoft per eliminare la variabile UEFI se il dispositivo usa Secure Boot.

Nota

L'Area Download offre due file denominati LsaPplConfig.efi. Il file più piccolo è per i sistemi basati su x86 e il file più grande è per i sistemi basati su x64.

Per altre informazioni sulla gestione dell'avvio protetto, vedere firmware UEFI.

Attenzione

Quando l'avvio protetto è disattivato, vengono reimpostate tutte le configurazioni correlate a UEFI e avvio protetto. È consigliabile disattivare l'avvio protetto solo quando tutti gli altri mezzi per disabilitare la protezione LSA hanno esito negativo.

Verificare la protezione LSA

Per determinare se LSA viene avviato in modalità protetta all'avvio di Windows, seguire questa procedura:

1. Aprire Visualizzatore eventi.
2. Espandi Registri di Windows>Sistema.
3. Cercare l'evento seguente WinInit: 12: LSASS.exe è stato avviato come processo protetto con livello: 4.

LSA e Credential Guard

La protezione LSA è una funzionalità di sicurezza che difende le informazioni sensibili, come le credenziali, dal furto, bloccando l'inserimento di codice LSA non attendibile e il dumping della memoria di processo. La protezione LSA viene eseguita in background isolando il processo LSA in un contenitore e impedendo ad altri processi, ad esempio utenti malintenzionati o app, di accedere alla funzionalità. Questo isolamento rende la protezione LSA una funzionalità di sicurezza essenziale, motivo per cui è abilitata per impostazione predefinita in Windows 11.

A partire da Windows 10, Credential Guard consente anche di evitare attacchi di furto di credenziali proteggendo gli hash delle password NTLM, i ticket di concessione ticket Kerberos (TGT) e le credenziali archiviate dalle applicazioni come credenziali di dominio. Kerberos, NTLM e Gestione credenziali isolano i segreti usando la sicurezza basata su virtualizzazione.Kerberos, NTLM e Credential Manager isolate secrets by using virtualization-based security (VBS).

Quando Credential Guard è abilitato, il processo LSA comunica con un componente denominato processo LSA isolato o LSAIso.exe, che archivia e protegge i segreti. I dati archiviati dal processo LSA isolato sono protetti tramite VBS e non sono accessibili al resto del sistema operativo. LSA utilizza chiamate di procedura remota per comunicare con il processo LSA isolato.

A partire da Windows 11 versione 22H2, vbs e Credential Guard sono abilitati per impostazione predefinita in tutti i dispositivi che soddisfano i requisiti di sistema. Credential Guard è supportato solo nei dispositivi di avvio protetto a 64 bit. La protezione LSA e Credential Guard sono complementari e i sistemi che supportano Credential Guard o lo abilitano per impostazione predefinita possono anche abilitare e trarre vantaggio dalla protezione LSA. Per ulteriori informazioni su Credential Guard, vedere la panoramica di Credential Guard .

Altre risorse

• Protezione e gestione delle credenziali
• Partner Center per Windows Hardware