Compartilhar via

Como configurar a proteção LSA adicionada

Este artigo explica como configurar a proteção adicional para o processo da LSA (Autoridade de Segurança Local) para evitar a injeção de código que pode comprometer as credenciais.

A LSA, que inclui o processo LSASS (Serviço de Servidor da Autoridade de Segurança Local), valida os usuários para entradas locais e remotas e impõe políticas de segurança local. No Windows 8.1 e posterior, a proteção adicional para a LSA é fornecida para impedir que processos não protegidos leiam memória e injetem código. Esse recurso fornece segurança adicional para as credenciais que a LSA armazena e gerencia. Você pode obter mais proteção ao usar o bloqueio UEFI (Unified Extensible Firmware Interface) e a Inicialização Segura. When these settings are enabled, disabling the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry key has no effect.

Requisitos de processo protegidos para plug-ins ou drivers

Para que um plug-in ou driver LSA seja carregado com êxito como um processo protegido, ele deve atender aos critérios nas duas seções a seguir.

Signature verification

O modo protegido requer que qualquer plug-in carregado na LSA seja assinado digitalmente com uma assinatura da Microsoft. Todos os plug-ins que não estão assinados ou não são assinados com uma assinatura da Microsoft falham ao carregar no LSA. Exemplos de plug-ins são drivers de cartão inteligente, plug-ins criptográficos e filtros de senha.

  • Os plug-ins LSA que são drivers, como drivers de cartão inteligente, precisam ser assinados com a certificação WHQL (Windows Hardware Quality Labs). Para obter mais informações, consulte a assinatura de versão do WHQL.
  • Os plug-ins LSA que não têm um processo de certificação WHQL devem ser assinados usando o serviço de assinatura de arquivo para LSA.

Adesão às diretrizes do processo do Microsoft Security Development Lifecycle (SDL)

  • Todos os plug-ins devem estar em conformidade com as diretrizes de processo SDL aplicáveis. Para obter mais informações, consulte Microsoft Security Development Lifecycle (SDL) – Diretrizes de processo.
  • Mesmo que os plug-ins sejam assinados corretamente com uma assinatura da Microsoft, a não conformidade com o processo SDL pode resultar em falha ao carregar um plug-in.

Use a lista a seguir para testar completamente a habilitação da proteção LSA antes de implantar amplamente o recurso:

  • Identifique todos os plug-ins e drivers LSA que sua organização usa. Inclua drivers ou plug-ins que não são da Microsoft, como drivers de cartão inteligente e plug-ins criptográficos, e qualquer software desenvolvido internamente usado para impor filtros de senha ou notificações de alteração de senha.
  • Certifique-se de que todos os plug-ins LSA estejam assinados digitalmente com um certificado da Microsoft para que não haja falha ao carregar sob a proteção LSA.
  • Verifique se todos os plug-ins assinados corretamente podem ser carregados com êxito na LSA e que eles sejam executados conforme o esperado.
  • Use os logs de auditoria para identificar quaisquer plug-ins e drivers de LSA que não são executados como um processo protegido.

Limitações da habilitação da proteção de LSA

Se a proteção de LSA adicionada estiver habilitada, você não poderá depurar um plug-in de LSA personalizado. Não é possível anexar um depurador ao LSASS quando ele for um processo protegido. Em geral, não há nenhuma maneira compatível de depurar um processo protegido em execução.

Auditoria de plug-ins e drivers de LSA que não são carregados como um processo protegido

Antes de habilitar a proteção de LSA, use o modo de auditoria para identificar plug-ins e drivers de LSA que têm falha ao serem carregados no modo protegido de LSA. No modo de auditoria, o sistema gera logs de eventos que identificam todos os plug-ins e drivers que falham ao serem carregados no LSA, caso a proteção LSA esteja ativada. As mensagens são registradas sem bloquear realmente os plug-ins ou drivers.

The events described in this section are recorded in Event Viewer in the Operational log under Applications and Services Logs>Microsoft>Windows>CodeIntegrity. Eles podem ajudar você a identificar os plug-ins e drivers de LSA que tiveram falha no carregamento devido a motivos de assinatura. To manage these events, you can use the wevtutil command-line tool. For information about this tool, see Wevtutil.

Important

Eventos de auditoria não serão gerados se o Controle de Aplicativo Inteligente estiver habilitado em um dispositivo. Para verificar ou alterar o status do Controle de Aplicativo Inteligente, abra o aplicativo de Segurança do Windows e vá para a página de controle aplicativo > do navegador . Selecione as configurações de Controle de Aplicativo Inteligente para verificar se o Controle inteligente de aplicativos está habilitado. If you want to audit added LSA protection, change the configuration to Off.

Note

O modo de auditoria para a proteção LSA adicionada é habilitado por padrão em dispositivos que executam o Windows 11 versão 22H2 e posterior. Se o dispositivo estiver executando esse build ou posterior, nenhuma outra ação será necessária para auditar a proteção LSA adicionada.

Habilitar o modo de auditoria para LSASS.exe em um único computador

  1. Open the Registry Editor, or enter RegEdit.exe in the Run dialog, and then go to the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe registry key.
  2. Open the AuditLevel value. Set its data type to dword and its data value to 00000008.
  3. Reinicie o computador.

Depois de seguir estas etapas, procure eventos que tenham as seguintes IDs: 3065 e 3066. Para verificar esses eventos, abra o Visualizador de Eventos e expanda os Logs de Aplicativos e Serviços>Microsoft>Windows>CodeIntegrity>Operational.

  • Event 3065 occurs when a code integrity check determines that a process, usually LSASS.exe, attempts to load a driver that doesn't meet the security requirements for shared sections. No entanto, devido à política de sistema atualmente definida, é permitido o carregamento da imagem.
  • Event 3066 occurs when a code integrity check determines that a process, usually LSASS.exe, attempts to load a driver that doesn't meet the Microsoft signing level requirements. No entanto, devido à política de sistema atualmente definida, é permitido o carregamento da imagem.

Se um plug-in ou driver contiver seções compartilhadas, o evento 3066 será registrado com o evento 3065. A remoção das seções compartilhadas deve impedir que ambos os eventos ocorram, a menos que o plug-in não atenda aos requisitos de nível de assinatura da Microsoft.

Important

Esses eventos operacionais não são gerados quando um depurador de kernel é anexado e habilitado em um sistema.

Habilitar o modo de auditoria para LSASS.exe em vários computadores

Para habilitar o modo de auditoria para vários computadores em um domínio, é possível usar a extensão do lado do cliente do registro para Política de Grupo para implantar o valor do registro de nível de auditoria LSASS.exe. Você precisa modificar a chave do registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe .

  1. Open the Group Policy Management Console by entering gpmc.msc in the Run dialog or selecting Group Policy Management Console from the Start menu.
  2. Crie um Objeto de Política de Grupo (GPO) que esteja vinculado ao nível do domínio ou à unidade organizacional que contém suas contas de computador. Ou selecione um GPO que já foi implantado.
  3. Right-click the GPO, and then select Edit to open the Group Policy Management Editor.
  4. Expand Computer Configuration>Preferences>Windows Settings.
  5. Right-click Registry, point to New, and then select Registry Item. A caixa de diálogo Novas propriedades do registro é exibida.
  6. Na caixa de diálogo Novas Propriedades do Registro , selecione ou insira os seguintes valores:
    • For Hive, select HKEY_LOCAL_MACHINE.
    • For Key Path, select SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
    • For Value name, enter AuditLevel.
    • For Value type, select REG_DWORD.
    • For Value data, enter 00000008.
  7. Select OK.

Note

Para que o GPO entre em vigor, a alteração de GPO deve ser replicada para todos os controladores de domínio no domínio.

To opt in for added LSA protection on multiple computers, you can use the registry client-side extension for Group Policy to modify HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Para obter instruções, consulte Habilitar e configurar a proteção de credenciais LSA adicionadas posteriormente neste artigo.

Como identificar plug-ins e drivers que o LSASS.exe falha em carregar

Quando a proteção de LSA está habilitada, o sistema gera logs de eventos que identificam todos os plug-ins e drivers que não foram carregados na LSA. Depois de aceitar a proteção LSA adicionada, você pode usar o log de eventos para identificar plug-ins LSA e drivers que não são carregados no modo de proteção LSA.

Verifique os seguintes eventos no Visualizador de Eventos expandindo os Logs de Aplicativos e Serviços>Microsoft>Windows>CodeIntegrity>Operacional:

  • Event 3033 occurs when a code integrity check determines that a process, usually LSASS.exe, attempts to load a driver that doesn't meet the Microsoft signing level requirements.
  • Event 3063 occurs when a code integrity check determines that a process, usually LSASS.exe, attempts to load a driver that doesn't meet the security requirements for shared sections.

As seções compartilhadas normalmente resultam quando as técnicas de programação permitem que os dados da instância interajam com outros processos que usam o mesmo contexto de segurança. Seções compartilhadas podem criar vulnerabilidades de segurança.

Habilitar e configurar a proteção de credenciais LSA adicionadas

Você pode configurar a proteção LSA adicionada para dispositivos que executam o Windows 8.1 ou posterior, ou o Windows Server 2012 R2 ou posterior, usando os procedimentos nesta seção.

Dispositivos que usam Inicialização Segura e UEFI

Ao habilitar a proteção LSA em dispositivos baseados em x86 ou x64 que usam a Inicialização Segura ou UEFI, você pode armazenar uma variável UEFI no firmware UEFI usando uma chave ou política do Registro. Quando habilitado com o bloqueio UEFI, o LSASS é executado como um processo protegido e essa configuração é armazenada em uma variável UEFI no firmware.

Quando a configuração é armazenada no firmware, a variável UEFI não pode ser excluída ou alterada para configurar a proteção LSA adicionada modificando o registro ou por política. A variável UEFI deve ser redefinida usando as instruções em Remover a variável UEFI de proteção LSA.

Quando habilitado sem um bloqueio UEFI, o LSASS é executado como um processo protegido e essa configuração não é armazenada em uma variável UEFI. Essa configuração é aplicada por padrão em dispositivos com uma nova instalação do Windows 11 versão 22H2 ou posterior.

Em dispositivos baseados em x86 ou x64 que não dão suporte à UEFI ou onde a Inicialização Segura está desabilitada, você não pode armazenar a configuração para proteção LSA no firmware. Esses dispositivos dependem apenas da presença da chave do Registro. Nesse cenário, é possível desabilitar a proteção LSA usando o acesso remoto ao dispositivo. A desabilitação da proteção LSA não terá efeito até que o dispositivo seja reiniciado.

Automatic enablement

Para dispositivos cliente que executam o Windows 11 versão 22H2 e posterior, a proteção LSA adicionada será habilitada por padrão se os seguintes critérios forem atendidos:

  • O dispositivo é uma nova instalação do Windows 11 versão 22H2 ou posterior, não atualizada de uma versão anterior.
  • O dispositivo está ingressado na empresa (ingressado no Domínio do Active Directory, ingressado no domínio do Microsoft Entra ou ingressado no domínio híbrido do Microsoft Entra).
  • O dispositivo tem capacidade de HVCI (Integridade de código protegida por hipervisor).

A habilitação automática da proteção LSA adicionada no Windows 11 versão 22H2 e posterior não define uma variável UEFI para o recurso. Se você quiser definir uma variável UEFI, poderá usar uma configuração ou política do Registro.

Habilitar a proteção LSA em um único computador

Você pode habilitar a proteção LSA em um único computador usando o registro ou usando a Política de Grupo Local.

Habilitar usando o Registro

  1. Open the Registry Editor, or enter RegEdit.exe in the Run dialog, and then go to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry key.
  2. Open the RunAsPPL value, and edit its data:
    • To configure the feature with a UEFI variable, use a type of dword and a data value of 00000001.
    • To configure the feature without a UEFI variable, use a type of dword and a data value of 00000002. Esse valor só é imposto no Windows 11 build 22H2 e posterior.
  3. Reinicie o computador.

Habilitar usando a Política de Grupo Local no Windows 11 versão 22H2 e posterior

  1. Open the Local Group Policy Editor by entering gpedit.msc in the Run dialog.
  2. Expand Computer Configuration>Administrative Templates>System>Local Security Authority.
  3. Abra a política Configura o LSASS para ser executado como um processo protegido.
  4. Set the policy to Enabled.
  5. Under Options, select one of the following options:
    • Para configurar o recurso com uma variável UEFI, selecione Habilitado com Bloqueio UEFI.
    • Para configurar o recurso sem uma variável UEFI, selecione Habilitado sem Bloqueio UEFI.
  6. Select OK.
  7. Reinicie o computador.

Habilitar a proteção LSA usando a Política de Grupo

  1. Open the Group Policy Management Console by entering gpmc.msc in the Run dialog or selecting Group Policy Management Console from the Start menu.
  2. Crie um novo GPO vinculado no nível do domínio ou vinculado à unidade organizacional que contém suas contas de computador. Ou selecione um GPO que já foi implantado.
  3. Right-click the GPO, and then select Edit to open the Group Policy Management Editor.
  4. Expand Computer Configuration>Preferences>Windows Settings.
  5. Right-click Registry, point to New, and then select Registry Item. A caixa de diálogo Novas propriedades do registro é exibida.
  6. Na caixa de diálogo Novas Propriedades do Registro , selecione ou insira os seguintes valores:
    • For Hive, select HKEY_LOCAL_MACHINE.
    • For Key Path, select SYSTEM\CurrentControlSet\Control\Lsa.
    • For Value name, enter RunAsPPL.
    • For Value type, select REG_DWORD.
    • For Value data, enter one of the following values:
      • To enable LSA protection with a UEFI variable, enter 00000001.
      • To enable LSA protection without a UEFI variable, enter 00000002. Essa configuração só é imposta no Windows 11 versão 22H2 e posterior.
  7. Select OK.

Habilitar a proteção LSA criando um perfil de configuração de dispositivo personalizado

Para dispositivos que executam o Windows 11 versão 22H2 e posterior, você pode executar as etapas nas seções a seguir para habilitar e configurar a proteção LSA. Este procedimento usa o centro de administração do Microsoft Intune para criar um perfil de configuração de dispositivo personalizado.

Criar um perfil

  1. In the Intune admin center, go to Devices>Windows>Configuration profiles, and then select Create profile.
  2. Na tela Criar um perfil , selecione as seguintes opções:
    • Under Platform, select Windows 10 and later.
    • Under Profile type, select Templates, and then select Custom.
  3. Select Create.
  4. On the Basics screen, enter a name and optional description for the profile, and then select Next.

Adicionar configurações iniciais

  1. On the Configuration settings screen, select Add.
  2. On the Add row screen, enter the following information:
    • For Name, enter a name for the Open Mobile Alliance – Uniform Resource (OMA-URI) setting.
    • For OMA-URI, enter ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
    • For Data type, select Integer.
    • For Value, enter one of the following values:
      • To configure LSASS to run as a protected process with UEFI lock, enter 1.
      • To configure LSASS to run as a protected process without UEFI lock, enter 2.
  3. Select Save, and then select Next.

Concluir a configuração do perfil

  1. On the Assignments page, configure the assignments, and then select Next.
  2. On the Applicability Rules page, configure any applicability rules, and then select Next.
  3. Na página Examinar + criar , verifique a configuração e, em seguida, selecione Criar.
  4. Reinicie o computador.

Para obter mais informações sobre esse CSP (provedor de serviços de configuração de política), consulte LocalSecurityAuthority – ConfigureLsaProtectedProcess.

Desabilitar a proteção LSA

Você pode desabilitar a proteção LSA usando o registro ou usando a Política de Grupo Local. Se o dispositivo estiver usando a Inicialização Segura e você definir a variável UEFI de proteção LSA no firmware, você poderá usar uma ferramenta para remover a variável UEFI.

Desabilitar usando o Registro

  1. Open the Registry Editor, or enter RegEdit.exe in the Run dialog, and then go to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry key.
  2. Open the RunAsPPL value, and set its data value to 00000000. Or delete the RunAsPPL value.
  3. Se o recurso PPL (protected processes light) tiver sido habilitado por meio de uma variável UEFI, use a ferramenta de desativação de processo protegido da Autoridade de Segurança Local para remover a variável UEFI.
  4. Reinicie o computador.

Desabilitar usando a política local no Windows 11 versão 22H2 e posterior

  1. Open the Local Group Policy Editor by entering gpedit.msc in the Run dialog.
  2. Expand Computer Configuration>Administrative Templates>System>Local Security Authority.
  3. Abra a política Configura o LSASS para ser executado como um processo protegido.
  4. Set the policy to Enabled.
  5. Under Options, select Disabled.
  6. Select OK.
  7. Reinicie o computador.

Note

If you set this policy to Not Configured and the policy was previously enabled, the prior setting doesn't get cleaned up and continues to be enforced. You must set the policy to Disabled under the Options dropdown to disable the feature.

Remover a variável UEFI de proteção LSA

Você pode usar a ferramenta de exclusão de processo protegido LSA (Autoridade de Segurança Local) do Centro de Download da Microsoft para excluir a variável UEFI se o dispositivo estiver usando a Inicialização Segura.

Note

The Download Center offers two files named LsaPplConfig.efi. O arquivo menor é para sistemas baseados em x86 e o arquivo maior é para sistemas baseados em x64.

For more information about managing Secure Boot, see UEFI Firmware.

Caution

Quando a Inicialização Segura está desativada, todas as configurações relacionadas à Inicialização Segura e à UEFI são redefinidas. Você deve desativar a Inicialização Segura somente quando todos os outros meios para desabilitar a proteção LSA falharem.

Como verificar a proteção de LSA

Para determinar se o LSA começa no modo protegido quando o Windows é iniciado, execute as seguintes etapas:

  1. Abra o Visualizador de Eventos.
  2. Expand Windows Logs>System.
  3. Look for the following WinInit event: 12: LSASS.exe was started as a protected process with level: 4.

LSA e Credential Guard

A proteção LSA é um recurso de segurança que defende informações confidenciais, como credenciais, de roubo, bloqueando a injeção de código LSA não confiável e o despejo de memória do processo. A proteção LSA é executada em segundo plano isolando o processo LSA em um contêiner e impedindo que outros processos, como atores mal-intencionados ou aplicativos, acessem o recurso. Esse isolamento torna a proteção LSA um recurso de segurança vital, e é por isso que ele está habilitado por padrão no Windows 11.

A partir do Windows 10, o Credential Guard também ajuda a evitar ataques de roubo de credenciais protegendo hashes de senha NTLM, TGTs (tíquetes de concessão de tíquete Kerberos) e credenciais armazenadas por aplicativos, como credenciais de domínio. Kerberos, NTLM e Credential Manager isolam segredos usando VBS (segurança baseada em virtualização).

Quando o Credential Guard está habilitado, o processo LSA se comunica com um componente chamado processo LSA isolado, ou LSAIso.exe, que armazena e protege segredos. Os dados armazenados pelo processo LSA isolado são protegidos usando o VBS e não podem ser acessados pelo restante do sistema operacional. A LSA usa chamadas de procedimento remoto para se comunicar com o processo isolado da LSA.

A partir do Windows 11 versão 22H2, o VBS e o Credential Guard são habilitados por padrão em todos os dispositivos que atendem aos requisitos do sistema. O Credential Guard tem suporte apenas em dispositivos de Inicialização Segura de 64 bits. A proteção LSA e o Credential Guard são complementares, e sistemas que dão suporte ao Credential Guard ou o habilitam por padrão também podem habilitar e se beneficiar da proteção LSA. Para obter mais informações sobre o Credential Guard, consulte a visão geral do Credential Guard.

More resources