Como configurar a proteção LSA adicionada

Este artigo explica como configurar a proteção adicionada para o processo de LSA (Autoridade de Segurança Local), a fim de impedir a injeção de código que poderia comprometer credenciais.

A LSA, que inclui o processo LSASS (Serviço do Servidor de Autoridade de Segurança Local), valida usuários para entradas remotas e locais e força as políticas de segurança local. A partir do Windows 8.1 e posterior, a proteção adicionada para a LSA é fornecida para impedir a leitura de memória e injeção de código por processos desprotegidos. Esse recurso proporciona mais segurança para as credenciais que a LSA armazena e gerencia. É possível obter mais proteção ao usar o bloqueio UEFI e a Inicialização Segura, pois desabilitar a chave do registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa não tem efeito.

Requisitos do processo protegido para plug-ins ou drivers

Para um plug-in ou driver de LSA carregar com êxito como um processo protegido, ele deve atender aos seguintes critérios:

Verificação de assinatura

O modo protegido exige que qualquer plug-in carregado na LSA tenha uma assinatura digital da Microsoft. Os plug-ins não assinados com uma assinatura da Microsoft não serão carregados na LSA. Entre os exemplos desses plug-ins estão os drivers de cartão inteligente, os plug-ins criptográficos e os filtros de senha.

• Os plug-ins de LSA que são drivers, como os drivers de cartão inteligente, precisam ser assinados usando a Certificação WHQL. Para obter mais informações, consulte WHQL Release Signature.
• Os plug-ins de LSA que não têm um processo de Certificação de WHQL devem ser assinados usando o serviço de assinatura de arquivo para LSA.

Aderência à orientação do processo SDL (Microsoft Security Development Lifecycle)

• Todos os plug-ins devem estar em conformidade com a orientação do processo SDL aplicável. Para obter mais informações, consulte Microsoft Security Development Lifecycle (SDL) – Orientação do processo.
• Mesmo se os plug-ins estiverem adequadamente assinados com uma assinatura da Microsoft, a não conformidade com o processo SDL pode resultar em falha no carregamento de um plug-in.

Práticas recomendadas

Use a lista a seguir para testar completamente a habilitação dessa proteção de LSA antes de você implantar amplamente o recurso:

• Identifique todos os plug-ins e drivers da LSA que sua organização usa. Inclua drivers ou plug-ins que não são da Microsoft, como drivers de cartão inteligente e plug-ins criptográficos, bem como qualquer software desenvolvido internamente que seja usado para impor filtros de senha ou notificações de alteração de senha.
• Verifique se todos os plug-ins de LSA estão digitalmente assinados com um certificado da Microsoft, de forma que não haja falhas em seu carregamento sob a proteção de LSA.
• Verifique se todos os plug-ins assinados corretamente podem ser carregados com êxito na LSA e se eles são executados conforme esperado.
• Use os logs de auditoria para identificar plug-ins e drivers de LSA que não são executados como um processo protegido.

Limitações da habilitação da proteção de LSA

Se a proteção de LSA adicionada estiver habilitada, você não poderá depurar um plug-in de LSA personalizado. Você não pode anexar um depurador ao LSASS quando ele é um processo protegido. Em geral, não há nenhuma maneira compatível de depurar um processo protegido em execução.

Auditoria de plug-ins e drivers de LSA que não serão carregados como um processo protegido

Antes de habilitar a proteção de LSA, use o modo de auditoria para identificar plug-ins e drivers de LSA que terão falha ao serem carregados no modo protegido de LSA. No modo de auditoria, o sistema gera logs de eventos que identificam todos os plug-ins e drivers que não são carregados em LSA se a proteção de LSA estiver habilitada. As mensagens são registradas sem realmente bloquear os plug-ins ou drivers.

Os eventos descritos nesta seção estão localizados no Visualizador de Eventos no log Operacional em Logs de Aplicativos e Serviços>Microsoft>Windows>CodeIntegrity. Eles podem ajudar você a identificar os plug-ins e drivers de LSA que tiveram falha no carregamento devido a motivos de assinatura. Para gerenciar esses eventos, você pode usar a ferramenta de linha de comando wevtutil. Para obter informações sobre essa ferramenta, consulte Wevtutil.

Importante

Eventos de auditoria não serão gerados se o Controle de Aplicativo Inteligente estiver habilitado em um dispositivo. Para verificar ou alterar o estado de habilitação do Controle de Aplicativo Inteligente, abra o aplicativo Segurança do Windows e vá para a página Controle de aplicativo e navegador. Selecione Configurações do Controle de Aplicativo Inteligente para verificar o estado de habilitação e altere a configuração para Desativado se estiver tentando auditar a proteção de LSA adicionada.

Observação

O modo de auditoria para proteção de LSA adicionada é habilitado por padrão em dispositivos que executam o Windows 11 versão 22H2 e superior. Se o dispositivo estiver executando esse build ou posterior, nenhuma outra ação será necessária para auditar a proteção de LSA adicionada.

Como habilitar o modo de auditoria para LSASS.exe em um único computador

1. Abra o Editor de Registro (RegEdit.exe) e navegue para a chave do Registro localizada em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
2. Defina o valor da chave de Registro como AuditLevel=dword:00000008.
3. Reinicie o computador.

Depois de executar essas etapas, analise os resultados do evento 3065 e do evento 3066. No Visualizador de Eventos, verifique esses eventos no log Operacional em Logs de Aplicativos e Serviços>Microsoft>Windows>CodeIntegrity.

• O evento 3065 registra que uma verificação de integridade de código determinou que um processo (geralmente, LSASS.exe) tentou carregar um driver que não atendeu aos requisitos de segurança para Seções Compartilhadas. No entanto, devido à política de sistema atualmente definida, foi permitido o carregamento da imagem.
• O evento 3066 registra que uma verificação de integridade de código determinou que um processo (geralmente, LSASS.exe) tentou carregar um driver que não atendeu aos requisitos de nível de assinatura da Microsoft. No entanto, devido à política de sistema atualmente definida, foi permitido o carregamento da imagem.

Se um plug-in ou driver contiver Seções Compartilhadas, o Evento 3066 será registrado com o Evento 3065. A remoção das Seções Compartilhadas deve impedir que os dois eventos ocorram, a menos que o plug-in não atenda aos requisitos de nível de assinatura da Microsoft.

Importante

Esses eventos operacionais não são gerados quando um depurador de kernel está conectado e habilitado em um sistema.

Como habilitar o modo de auditoria para LSASS.exe em vários computadores

Para habilitar o modo de auditoria para vários computadores em um domínio, é possível usar a Extensão do Lado do Cliente do Registro para Política de Grupo para implantar o valor do Registro de nível de auditoria LSASS.exe. É necessário modificar a chave de Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

1. Abra o GPMC (Console de Gerenciamento de Política de Grupo) inserindo gpmc.msc na caixa de diálogo Executar ou selecionando Console de Gerenciamento de Política de Grupo no menu Iniciar.
2. Crie um novo GPO (Objeto de Política de Grupo) que esteja vinculado no nível de domínio ou à unidade organizacional que contém as contas do computador. Ou selecione um GPO já implantado.
3. Clique com o botão direito do mouse no GPO e selecione Editar para abrir o Editor de Gerenciamento de Política de Grupo.
4. Expanda Configuração do Computador>Preferências>Configurações do Windows.
5. Clique com o botão direito do mouse em Registro, aponte para Novo e selecione Item do Registro. A caixa de diálogo Novas Propriedades do Registro é exibida.
6. Na lista Hive, selecione HKEY_LOCAL_MACHINE.
7. Na lista Caminho da Chave, navegue até SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
8. Na caixa Nome do valor, digite AuditLevel.
9. Na caixa Tipo de valor, selecione REG_DWORD.
10. Na caixa Dados do valor, digite 00000008.
11. Selecione OK.

Observação

Para o GPO entrar em vigor, a sua alteração deve ser replicada para todos os controladores no domínio.

Para aceitar a proteção de LSA adicionada em vários computadores, você pode usar a Extensão do Lado do Cliente do Registro para Política de Grupo modificando HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Para obter instruções, consulte Configurar a proteção de credenciais de LSA adicionadas mais adiante neste artigo.

Como identificar plug-ins e drivers que o LSASS.exe falha em carregar

Quando a proteção de LSA está habilitada, o sistema gera logs de eventos que identificam todos os plug-ins e drivers que não foram carregados na LSA. Depois de aceitar a proteção de LSA adicionada, você pode usar o log de eventos para identificar plug-ins e drivers de LSA que falharam ao carregar no modo de proteção de LSA.

Verifique os seguintes eventos em Logs de Aplicativos e Serviços >Microsoft>Windows>CodeIntegrity>Operacional no Visualizador de Eventos:

• O evento 3033 registra que uma verificação de integridade de código determinou que um processo (geralmente, LSASS.exe) tentou carregar um driver que não atendeu aos requisitos de nível de assinatura da Microsoft.
• O evento 3063 registra que uma verificação de integridade de código determinou que um processo (geralmente, LSASS.exe) tentou carregar um driver que não atendeu aos requisitos de segurança para Seções Compartilhadas.

As Seções Compartilhadas geralmente são o resultado de técnicas de programação que permitem que os dados da instância interajam com outros processos que usam o mesmo contexto de segurança, o que pode criar vulnerabilidades de segurança.

Como habilitar e configurar a proteção de credenciais de LSA adicionada

É possível configurar a proteção de LSA adicionada para dispositivos que executam o Windows 8.1 ou posterior, ou o Windows Server 2012 R2 ou posterior, usando os procedimentos nessa seção.

Dispositivos que usam Inicialização Segura e UEFI

Ao habilitar a proteção de LSA em dispositivos baseados em x86 ou x64 que usam a Inicialização Segura ou UEFI, é possível armazenar uma variável UEFI no firmware da UEFI usando uma política ou chave do Registro. Quando habilitado com o bloqueio de UEFI, o LSASS é executado como um processo protegido e essa configuração é armazenada em uma variável UEFI no firmware.

Quando a configuração é armazenada no firmware, a variável UEFI não pode ser excluída ou alterada para configurar a proteção de LSA adicionada modificando o registro ou pela política. A variável UEFI deve ser redefinida usando as instruções em Remover a variável UEFI da proteção de LSA.

Quando habilitado sem um bloqueio de UEFI, o LSASS é executado como um processo protegido e essa configuração não é armazenada em uma variável UEFI. Essa configuração é aplicada por padrão em dispositivos com uma nova instalação do Windows 11 versão 22H2 ou posterior.

Em dispositivos baseados em x86 ou x64 que não têm suporte para UEFI ou nos quais a Inicialização Segura está desabilitada, não é possível armazenar a configuração para a proteção de LSA no firmware. Esses dispositivos dependem apenas da presença da chave do Registro. Neste cenário, é possível desabilitar a proteção de LSA usando o acesso remoto ao dispositivo. A desabilitação da proteção de LSA não entrará em vigor até que o dispositivo seja reiniciado.

Habilitação automática

Para dispositivos cliente que executam o Windows 11 versão 22H2 e posterior, a proteção de LSA adicionada será habilitada por padrão se os seguintes critérios forem atendidos:

• O dispositivo é uma nova instalação do Windows 11 versão 22H2 ou posterior, não atualizada de uma versão anterior.
• O dispositivo está ingressado na empresa (ingressado no Domínio do Active Directory, ingressado no domínio do Microsoft Entra ou ingressado no domínio híbrido do Microsoft Entra).
• O dispositivo tem capacidade de Integridade de código protegida por hipervisor (HVCI).

A habilitação automática da proteção de LSA adicionada no Windows 11 versão 22H2 e posterior não define uma variável UEFI para o recurso. Se você quiser definir uma variável UEFI, poderá usar uma configuração ou política do Registro.

Observação

Para dispositivos que executam o Windows RT 8.1, a proteção de LSA adicionada está sempre habilitada e não pode ser desativada.

Como habilitar a proteção de LSA em um único computador

É possível habilitar a proteção de LSA em um único computador usando o registro ou a Política de Grupo Local.

Como habilitar usando o Registro

1. Abra o Editor de Registro RegEdit.exe e navegue para a chave do Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
2. Defina o valor da chave do Registro como:
   • "RunAsPPL"=dword:00000001 para configurar o recurso com uma variável UEFI.
   • "RunAsPPL"=dword:00000002 para configurar o recurso sem uma variável UEFI, imposta apenas no Windows 11 build 22H2 e superior.
3. Reinicie o computador.

Como habilitar usando a Política de Grupo Local no Windows 11 versão 22H2 e posterior

1. Abra o Editor de Política de Grupo Local inserindo gpedit.msc.
2. Expanda Configuração do Computador>Modelos Administrativos>Sistema>Autoridade de Segurança Local.
3. Abra a política Configurar LSASS para ser executada como um processo protegido.
4. Defina a política como Habilitada.
5. Em Opções, selecione uma das seguintes.
   • Habilitado com bloqueio UEFI para configurar o recurso com uma variável UEFI.
   • Habilitado sem bloqueio UEFI para configurar o recurso sem uma variável UEFI.
6. Selecione OK.
7. Reinicie o computador.

Como habilitar a proteção de LSA usando a Política de Grupo

1. Abra o GPMC inserindo gpmc.msc na caixa de diálogo Executar ou selecionando Console de Gerenciamento de Política de Grupo no menu Iniciar.
2. Crie um novo GPO que esteja vinculado no nível de domínio ou à unidade organizacional que contém as contas do computador. Ou selecione um GPO já implantado.
3. Clique com o botão direito do mouse no GPO e selecione Editar para abrir o Editor de Gerenciamento de Política de Grupo.
4. Expanda Configuração do Computador>Preferências>Configurações do Windows.
5. Clique com o botão direito do mouse em Registro, aponte para Novo e selecione Item do Registro. A caixa de diálogo Novas Propriedades do Registro é exibida.
6. Na lista Hive, clique em HKEY_LOCAL_MACHINE.
7. Na lista Caminho da Chave , procure SYSTEM\CurrentControlSet\Control\Lsa.
8. Na caixa Nome do valor, digite RunAsPPL.
9. Na caixa Tipo de valor, selecione REG_DWORD.
10. Na caixa Dados do valor, digite:
    • 00000001 para habilitar a proteção de LSA com uma variável UEFI.
    • 00000002 para habilitar a proteção de LSA sem uma variável UEFI, imposta apenas no Windows 11, versão 22H2 e posterior.
11. Selecione OK.

Como habilitar a proteção de LSA criando um perfil de configuração de dispositivo personalizado

Para dispositivos que executam o Windows 11 versão 22H2 e posterior, é possível habilitar e configurar a proteção de LSA criando um perfil de configuração de dispositivo personalizado no Centro de administração do Microsoft Intune.

1. No centro de administração do Intune, navegue até Dispositivos>Windows>Perfis de configuração e selecione Criar perfil.
2. Na tela Criar um perfil, selecione as seguintes opções:
   • Plataforma: Windows 10 e posterior
   • Tipo de perfil: selecione Modelos e, em seguida, selecione Personalizado.
3. Selecione Criar.
4. Na tela Básico, insira um Nome e uma Descriçãoopcional para o perfil e selecione Avançar.
5. Na tela Definições de configuração, selecione Adicionar.
6. Na tela Adicionar linha, forneça as seguintes informações:
   • Nome: forneça um nome para a configuração OMA-URI.
   • OMA-URI: insira ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
   • Tipo de dados: selecione Inteiro.
   • Valor: insira 1 para configurar o LSASS para ser executado como um processo protegido com bloqueio UEFI ou 2 para configurar o LSASS para ser executado como um processo protegido sem bloqueio UEFI.
7. Selecione Salvar e Próximo.
8. Na página Atribuições, configure as atribuições e selecione Avançar.
9. Na página Regras de Aplicabilidade, configure todas as regras de aplicabilidade e selecione Avançar.
10. Na página Examinar + criar, verifique a configuração e, em seguida, selecione Criar.
11. Reinicie o computador.

Para obter mais informações sobre esse CSP de Política, consulte LocalSecurityAuthority – ConfigureLsaProtectedProcess.

Como desabilitar a proteção de LSA

Você pode desabilitar a proteção de LSA usando o registro ou a Política de Grupo Local. Se o dispositivo estiver usando a Inicialização Segura e você definir a variável UEFI de proteção de LSA no firmware, poderá usar uma ferramenta para remover a variável UEFI.

Como desabilitar usando o Registro

1. Abra o Editor de Registro, RegEdit.exe, e navegue para a chave do Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
2. Defina o valor da chave do Registro como "RunAsPPL"=dword:00000000 ou exclua DWORD.
3. Se o PPL tiver sido habilitado com uma variável UEFI, use a ferramenta de Exclusão de Processo Protegido pela Autoridade de Segurança Local para remover a variável UEFI.
4. Reinicie o computador.

Como desabilitar usando a política local no Windows 11 versão 22H2 e posterior

1. Abra o Editor de Política de Grupo Local inserindo gpedit.msc.
2. Expanda Configuração do Computador>Modelos Administrativos>Sistema>Autoridade de Segurança Local.
3. Abra a política Configurar LSASS para ser executada como um processo protegido.
4. Defina a política como Habilitada.
5. Em Opções, selecione Desabilitado.
6. Selecione OK.
7. Reinicie o computador.

Observação

Se essa política for definida como Não Configurada e tiver sido habilitada anteriormente, a configuração anterior não será limpa e continuará sendo imposta. A política deve ser definida como Desabilitada na lista suspensa Opções para desabilitar o recurso.

Como remover a variável UEFI da proteção de LSA

Você pode usar a ferramenta Recusar Processo Protegido da LSA (Autoridade de Segurança Local) (LSAPPLConfig) do Centro de Download da Microsoft para excluir a variável UEFI se o dispositivo estiver usando a Inicialização Segura.

Observação

O Centro de Download oferece dois arquivos chamados LsaPplConfig.efi. O arquivo menor é para sistemas baseados em x86 e o maior é para sistemas baseados em x64.

Para obter mais informações sobre o gerenciamento de Inicialização Segura, consulte Firmware de UEFI.

Cuidado

Quando a Inicialização Segura está desativada, todas as configurações relacionadas à Inicialização Segura e à UEFI são redefinidas. Você deve desativar a Inicialização Segura somente quando todos os outros meios para desabilitar a proteção de LSA falharem.

Como verificar a proteção de LSA

Para determinar se a LSA iniciou no modo protegido quando o Windows foi inicializado, verifique Logs do Windows>Sistema no Visualizador de Eventos para obter o seguinte evento WinInit:

• 12: LSASS.exe foi iniciado como um processo protegido com nível: 4

LSA e Credential Guard

A proteção de LSA é um recurso de segurança que defende informações confidenciais, como credenciais, de roubo, bloqueando a injeção de código de LSA não confiável e processando o despejo de memória. A proteção de LSA é executada em segundo plano isolando o processo de LSA em um contêiner e impedindo que outros processos, como agentes ou aplicativos mal-intencionados, acessem o recurso. Esse isolamento torna a Proteção de LSA um recurso de segurança vital, e é por isso que ele está habilitado por padrão no Windows 11.

A partir do Windows 10, o Credential Guard também ajuda a evitar ataques de roubo de credenciais protegendo hashes de senha NTLM, TGTs (Tíquetes de Concessão de Tíquete Kerberos) e credenciais armazenadas por aplicativos, como credenciais de domínio. O Kerberos, o NTLM e o Credential Manager isolam segredos usando VBS (segurança baseada em virtualização).

Com o Credential Guard habilitado, o processo de LSA conversa com um componente chamado processo de LSA isolado, ou LSAIso.exe, que armazena e protege segredos. Os dados armazenados pelo processo de LSA isolado são protegidos usando o VBS e não podem ser acessados pelo restante do sistema operacional. A LSA usa chamadas de procedimento remoto para se comunicar com o processo isolado da LSA.

A partir do Windows 11 versão 22H2, o VBS e o Credential Guard são habilitados por padrão em todos os dispositivos que atendem aos requisitos do sistema. O Credential Guard tem suporte apenas em dispositivos de Inicialização Segura de 64 bits. A proteção de LSA e o Credential Guard são complementares e os sistemas que dão suporte ao Credential Guard ou o habilitam por padrão também podem habilitar e se beneficiar da proteção de LSA. Para obter mais informações sobre o Credential Guard, consulte Visão geral do Credential Guard.

Mais recursos

• Proteção e gerenciamento de credenciais
• Central de Parceiros para Hardware do Windows