Partilhar via

Configurar a proteção LSA adicionada

Este artigo explica como configurar a proteção adicional para o processo da Autoridade de Segurança Local (LSA) para evitar a injeção de código que pode comprometer as credenciais.

O LSA, que inclui o processo LSASS (Local Security Authority Server Service), valida os usuários para entradas locais e remotas e impõe políticas de segurança locais. No Windows 8.1 e posterior, a proteção adicional para o LSA é fornecida para impedir que processos não protegidos leiam memória e injetem código. Esse recurso fornece segurança adicional para as credenciais que o LSA armazena e gerencia. Você pode obter mais proteção ao usar o bloqueio UEFI (Unified Extensible Firmware Interface) e a Inicialização Segura. Quando essas configurações são habilitadas, desativar a chave do RegistroHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa não tem efeito.

Requisitos de processo protegidos para plug-ins ou drivers

Para que um plug-in ou driver LSA seja carregado com êxito como um processo protegido, ele deve atender aos critérios nas duas seções a seguir.

Verificação de assinatura

O modo protegido requer que qualquer plug-in carregado no LSA seja assinado digitalmente com uma assinatura da Microsoft. Todos os plug-ins não assinados ou não assinados com uma assinatura da Microsoft não são carregados no LSA. Exemplos de plug-ins são drivers de cartão inteligente, plug-ins criptográficos e filtros de senha.

  • Os plug-ins LSA que são drivers, como drivers de cartão inteligente, precisam ser assinados usando a certificação WHQL (Windows Hardware Quality Labs), certificação de qualidade de hardware da Microsoft. Para obter mais informações, consulte Assinatura de liberação WHQL.
  • Os plug-ins LSA que não têm um processo de certificação WHQL devem ser assinados usando o serviço de assinatura de arquivo para LSA.

Adesão às diretrizes de processo do Microsoft Security Development Lifecycle (SDL)

  • Todos os plug-ins devem estar em conformidade com as diretrizes de processo SDL aplicáveis. Para obter mais informações, consulte Microsoft Security Development Lifecycle (SDL) – Process Guidance.
  • Mesmo que os plug-ins estejam assinados corretamente com uma assinatura da Microsoft, a não conformidade com o processo SDL pode resultar em falha ao carregar um plug-in.

Use a lista a seguir para testar completamente a habilitação da proteção LSA antes de implantar amplamente o recurso:

  • Identifique todos os plug-ins e drivers LSA que sua organização usa. Inclua drivers ou plug-ins que não sejam da Microsoft, como drivers de cartão inteligente e plug-ins criptográficos, e qualquer software desenvolvido internamente que seja usado para impor filtros de senha ou notificações de alteração de senha.
  • Certifique-se de que todos os plug-ins LSA estão assinados digitalmente com um certificado da Microsoft para que não deixem de carregar sob proteção LSA.
  • Certifique-se de que todos os plug-ins assinados corretamente possam ser carregados com êxito no LSA e que tenham o desempenho esperado.
  • Utilize os registos de auditoria para identificar quaisquer plug-ins e drivers LSA que não consigam ser executados como um processo protegido.

Limitações de ativação da proteção LSA

Se a proteção LSA extra estiver ativada, não se pode depurar um plug-in LSA personalizado. Não é possível anexar um depurador ao LSASS quando é um processo protegido. Em geral, não há nenhuma maneira suportada de depurar um processo protegido em execução.

Auditoria de plug-ins e drivers LSA que não são carregados como um processo protegido

Antes de habilitar a proteção LSA, use o modo de auditoria para identificar plug-ins e drivers LSA que não são carregados no modo protegido LSA. Enquanto estiver no modo de auditoria, o sistema gera registos de eventos que identificam todos os plug-ins e drivers que não são carregados sob LSA quando a proteção LSA está ativada. As mensagens são registradas sem realmente bloquear os plug-ins ou drivers.

Os eventos descritos nesta seção são registrados no Visualizador de Eventos no log Operacional em Logs de Aplicações e Serviços>Microsoft>Windows>CodeIntegrity. Esses eventos podem ajudá-lo a identificar os plug-ins e drivers LSA que não carregam devido a falhas na assinatura. Para gerenciar esses eventos, você pode usar a ferramenta de linha de comando wevtutil . Para obter informações sobre essa ferramenta, consulte Wevtutil.

Importante

Os eventos de auditoria não são gerados se Smart App Control estiver ativo num dispositivo. Para verificar ou alterar o status do Smart App Control, abra o aplicativo de Segurança do Windows e vá para a página App & browser control. Selecione Configurações do Controle de Aplicativo Inteligente para verificar se o Controle de Aplicativo Inteligente está habilitado. Se você quiser auditar a proteção LSA adicionada, altere a configuração para Desativado.

Observação

O modo de auditoria para proteção LSA adicionada é ativado por padrão em dispositivos que executam o Windows 11 versão 22H2 e posterior. Se o seu dispositivo estiver executando esta compilação ou posterior, nenhuma outra ação será necessária para auditar a proteção LSA adicionada.

Habilitar o modo de auditoria para LSASS.exe em um único computador

  1. Abra o Editor do Registro ou digite RegEdit.exe na caixa de diálogo Executar e vá para a chave do Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe .
  2. Abra o valor AuditLevel . Defina seu tipo de dados como dword e seu valor de dados como 00000008.
  3. Reinicie o computador.

Depois de executar estas etapas, procure eventos que tenham as seguintes IDs: 3065 e 3066. Para verificar esses eventos, abra o Visualizador de Eventos e expanda Registos de Aplicações e Serviços>Microsoft>Windows>CodeIntegrity>Operational.

  • O evento 3065 ocorre quando uma verificação de integridade de código determina que um processo, geralmente LSASS.exe, tenta carregar um driver que não atende aos requisitos de segurança para seções compartilhadas. No entanto, devido à política do sistema atualmente definida, a imagem pode ser carregada.
  • O evento 3066 ocorre quando uma verificação de integridade de código determina que um processo, geralmente LSASS.exe, tenta carregar um driver que não atende aos requisitos de nível de assinatura da Microsoft. No entanto, devido à política do sistema atualmente definida, a imagem pode ser carregada.

Se um plug-in ou driver contiver seções compartilhadas, o evento 3066 será registrado com o evento 3065. A remoção das seções compartilhadas deve impedir que ambos os eventos ocorram, a menos que o plug-in não atenda aos requisitos de nível de assinatura da Microsoft.

Importante

Esses eventos operacionais não são gerados quando um depurador do kernel é anexado e ativado em um sistema.

Habilitar o modo de auditoria para LSASS.exe em vários computadores

Para habilitar o modo de auditoria para vários computadores num domínio, pode usar a extensão do registo do lado do cliente para a Diretiva de Grupo para implantar o valor do registo de nível de auditoria LSASS.exe. Você precisa modificar a chave do Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe .

  1. Abra o Console de Gerenciamento de Diretiva de Grupo inserindo gpmc.msc na caixa de diálogo Executar ou selecionando Console de Gerenciamento de Diretiva de Grupo no menu Iniciar .
  2. Crie um novo GPO (Objeto de Diretiva de Grupo) vinculado no nível do domínio ou vinculado à unidade organizacional que contém suas contas de computador. Ou selecione um GPO que já esteja implantado.
  3. Clique com o botão direito do mouse no GPO e selecione Editar para abrir o Editor de Gerenciamento de Diretiva de Grupo.
  4. Expanda Configuração do Computador, Preferências, Configurações do Windows.
  5. Clique com o botão direito do mouse em Registro, aponte para Novo e selecione Item do Registro. A caixa de diálogo Novas Propriedades do Registro é exibida.
  6. Na caixa de diálogo Novas Propriedades do Registro , selecione ou insira os seguintes valores:
    • Para Hive, selecione HKEY_LOCAL_MACHINE.
    • Em Key Path, selecione SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
    • Em Nome do valor, insira AuditLevel.
    • Em Tipo de valor, selecione REG_DWORD.
    • Em Dados do valor, insira 00000008.
  7. Selecione OK.

Observação

Para que o GPO entre em vigor, a alteração do GPO deve ser replicada para todos os controladores de domínio no domínio.

Para optar pela proteção adicional LSA em vários computadores, pode usar a extensão do lado do cliente para a Política de Grupo do Registro para modificar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Para obter instruções, consulte Habilitar e configurar a proteção de credenciais LSA adicionada mais adiante neste artigo.

Identificar os plug-ins e drivers que o LSASS.exe não consegue carregar

Quando a proteção LSA está ativada, o sistema gera logs de eventos que identificam todos os plug-ins e drivers que não são carregados no LSA. Depois de aceitar a proteção LSA adicionada, você pode usar o log de eventos para identificar plug-ins e drivers LSA que não são carregados no modo de proteção LSA.

Verifique os seguintes eventos no Visualizador de Eventos expandindo Logs de Aplicações e Serviços>Microsoft>Windows>CodeIntegrity>Operational:

  • O evento 3033 ocorre quando uma verificação de integridade de código determina que um processo, geralmente LSASS.exe, tenta carregar um driver que não atende aos requisitos de nível de assinatura da Microsoft.
  • O evento 3063 ocorre quando uma verificação de integridade de código determina que um processo, geralmente LSASS.exe, tenta carregar um driver que não atende aos requisitos de segurança para seções compartilhadas.

As seções compartilhadas geralmente resultam quando as técnicas de programação permitem que os dados da instância interajam com outros processos que usam o mesmo contexto de segurança. As secções partilhadas podem criar vulnerabilidades de segurança.

Habilitar e configurar a proteção de credenciais LSA adicionada

Você pode configurar a proteção LSA adicionada para dispositivos que executam o Windows 8.1 ou posterior, ou o Windows Server 2012 R2 ou posterior, usando os procedimentos desta seção.

Dispositivos que usam Inicialização Segura e UEFI

Ao habilitar a proteção LSA em dispositivos baseados em x86 ou x64 que usam Inicialização Segura ou UEFI, você pode armazenar uma variável UEFI no firmware UEFI usando uma chave ou política do Registro. Quando ativado com bloqueio UEFI, o LSASS é executado como um processo protegido e essa configuração é armazenada em uma variável UEFI no firmware.

Quando a configuração é armazenada no firmware, a variável UEFI não pode ser excluída ou alterada para configurar a proteção LSA adicionada modificando o registro ou por política. A variável UEFI deve ser redefinida usando as instruções em Remover a variável UEFI de proteção LSA.

Quando ativado sem um bloqueio UEFI, o LSASS é executado como um processo protegido e essa configuração não é armazenada em uma variável UEFI. Essa configuração é aplicada por padrão em dispositivos com uma nova instalação do Windows 11 versão 22H2 ou posterior.

Em dispositivos baseados em x86 ou x64 que não suportam UEFI ou onde a Inicialização Segura está desabilitada, não é possível armazenar a configuração para proteção LSA no firmware. Esses dispositivos dependem exclusivamente da presença da chave do Registro. Nesse cenário, é possível desativar a proteção LSA usando o acesso remoto ao dispositivo. A desativação da proteção LSA não terá efeito até que o dispositivo seja reinicializado.

Ativação automática

Para dispositivos cliente que executam o Windows 11 versão 22H2 e posterior, a proteção LSA adicionada é habilitada por padrão se os seguintes critérios forem atendidos:

  • O dispositivo é uma nova instalação do Windows 11 versão 22H2 ou posterior, e não foi atualizado de uma versão anterior.
  • O dispositivo está associado à empresa (associado ao domínio do Active Directory, associado ao domínio do Microsoft Entra ou associado a um domínio híbrido do Microsoft Entra).
  • O dispositivo é capaz de integridade de código protegida por hipervisor (HVCI).

A ativação automática da proteção LSA adicionada no Windows 11 versão 22H2 e posterior não define uma variável UEFI para o recurso. Se você quiser definir uma variável UEFI, você pode usar uma configuração ou política do Registro.

Ativar a proteção LSA em um único computador

Você pode habilitar a proteção LSA em um único computador usando o Registro ou a Diretiva de Grupo Local.

Habilitar usando o registro

  1. Abra o Editor do Registro ou digite RegEdit.exe na caixa de diálogo Executar e vá para a chave do Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
  2. Abra o valor RunAsPPL e edite seus dados:
    • Para configurar o recurso com uma variável UEFI, use um tipo de dword e um valor de dados de 00000001.
    • Para configurar o recurso sem uma variável UEFI, use um tipo de dword e um valor de dados de 00000002. Esse valor só é imposto no Windows 11 build 22H2 e posterior.
  3. Reinicie o computador.

Habilitar usando a Diretiva de Grupo Local no Windows 11 versão 22H2 e posterior

  1. Abra o Editor de Diretiva de Grupo Local inserindo gpedit.msc na caixa de diálogo Executar .
  2. Expanda Configuração do Computador>Modelos Administrativos>Sistema>Autoridade de Segurança Local.
  3. Abra a política Configura o LSASS para ser executado como um processo protegido.
  4. Defina a política como Habilitado.
  5. Em Opções, selecione uma das seguintes opções:
    • Para configurar o recurso com uma variável UEFI, selecione Habilitado com Bloqueio UEFI.
    • Para configurar o recurso sem uma variável UEFI, selecione Habilitado sem Bloqueio UEFI.
  6. Selecione OK.
  7. Reinicie o computador.

Habilitar a proteção LSA usando a Política de Grupo

  1. Abra o Console de Gerenciamento de Diretiva de Grupo inserindo gpmc.msc na caixa de diálogo Executar ou selecionando Console de Gerenciamento de Diretiva de Grupo no menu Iniciar .
  2. Crie um novo GPO vinculado no nível do domínio ou vinculado à unidade organizacional que contém suas contas de computador. Ou selecione um GPO que já esteja implantado.
  3. Clique com o botão direito do mouse no GPO e selecione Editar para abrir o Editor de Gerenciamento de Diretiva de Grupo.
  4. Expanda Configuração do Computador, Preferências, Configurações do Windows.
  5. Clique com o botão direito do mouse em Registro, aponte para Novo e selecione Item do Registro. A caixa de diálogo Novas Propriedades do Registro é exibida.
  6. Na caixa de diálogo Novas Propriedades do Registro , selecione ou insira os seguintes valores:
    • Para Hive, selecione HKEY_LOCAL_MACHINE.
    • Em Key Path, selecione SYSTEM\CurrentControlSet\Control\Lsa.
    • Em Nome do valor, digite RunAsPPL.
    • Em Tipo de valor, selecione REG_DWORD.
    • Para Dados do valor, insira um dos seguintes valores:
      • Para ativar a proteção LSA com uma variável UEFI, digite 00000001.
      • Para ativar a proteção LSA sem uma variável UEFI, digite 00000002. Essa configuração só é aplicada no Windows 11 versão 22H2 e posterior.
  7. Selecione OK.

Habilite a proteção LSA criando um perfil de configuração de dispositivo personalizado

Para dispositivos que executam o Windows 11 versão 22H2 e posterior, você pode seguir as etapas nas seções a seguir para habilitar e configurar a proteção LSA. Este procedimento utiliza o centro de administração do Microsoft Intune para criar um perfil de configuração de dispositivo personalizado.

Criar um perfil

  1. No centro de administração do Intune, aceda a Dispositivos>Windows>Perfis de Configuração e, em seguida, selecione Criar perfil.
  2. Na tela Criar um perfil , selecione as seguintes opções:
    • Em Plataforma, selecione Windows 10 e posterior.
    • Em Tipo de perfil, selecione Modelos e, em seguida, selecione Personalizado.
  3. Selecione Criar.
  4. No ecrã Noções básicas , introduza um nome e uma descrição opcional para o perfil e, em seguida, selecione Seguinte.

Adicionar definições de configuração inicial

  1. Na tela Definições de configuração , selecione Adicionar.
  2. No ecrã Adicionar linha , introduza as seguintes informações:
    • Em Nome, insira um nome para a configuração Open Mobile Alliance – Uniform Resource (OMA-URI).
    • Para OMA-URI, digite ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
    • Em Tipo de dados, selecione Inteiro.
    • Em Valor, insira um dos seguintes valores:
      • Para configurar o LSASS para ser executado como um processo protegido com bloqueio UEFI, digite 1.
      • Para configurar o LSASS para ser executado como um processo protegido sem bloqueio UEFI, digite 2.
  3. Selecione Guardar e, em seguida, selecione Seguinte.

Concluir a configuração do perfil

  1. Na página Atribuições , configure as atribuições e selecione Avançar.
  2. Na página de Regras de Aplicabilidade, configure as regras de aplicabilidade e depois selecione Avançar.
  3. Na página Rever + criar, verifique a configuração e, em seguida, selecione Criar.
  4. Reinicie o computador.

Para obter mais informações sobre esse provedor de serviços de configuração de política (CSP), consulte LocalSecurityAuthority - ConfigureLsaProtectedProcess.

Desativar a proteção LSA

Pode desativar a proteção LSA utilizando o registo ou a Política de Grupo Local. Se o dispositivo estiver usando a Inicialização Segura e você definir a variável UEFI de proteção LSA no firmware, poderá usar uma ferramenta para remover a variável UEFI.

Desativar usando o registro

  1. Abra o Editor do Registro ou digite RegEdit.exe na caixa de diálogo Executar e vá para a chave do Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
  2. Abra o valor RunAsPPL e defina seu valor de dados como 00000000. Ou exclua o valor RunAsPPL .
  3. Se o recurso PPL (protected processes light) foi habilitado com uma variável UEFI, use a ferramenta Local Security Authority Protected Process Opt-out para remover a variável UEFI.
  4. Reinicie o computador.

Desativar usando a política local no Windows 11 versão 22H2 e posterior

  1. Abra o Editor de Diretiva de Grupo Local inserindo gpedit.msc na caixa de diálogo Executar .
  2. Expanda Configuração do Computador>Modelos Administrativos>Sistema>Autoridade de Segurança Local.
  3. Abra a política Configura o LSASS para ser executado como um processo protegido.
  4. Defina a política como Habilitado.
  5. Em Opções, selecione Desativado.
  6. Selecione OK.
  7. Reinicie o computador.

Observação

Se você definir essa política como Não Configurada e a política tiver sido habilitada anteriormente, a configuração anterior não será limpa e continuará a ser imposta. Você deve definir a política como Desabilitado na lista suspensa Opções para desabilitar o recurso.

Remova a variável UEFI de proteção LSA

Pode utilizar a ferramenta de Exclusão de Processo Protegido da Autoridade de Segurança Local (LSA) a partir do Centro de Transferências da Microsoft para eliminar a variável UEFI se o dispositivo estiver a utilizar o Arranque Seguro.

Observação

O Centro de Download oferece dois arquivos chamados LsaPplConfig.efi. O arquivo menor é para sistemas baseados em x86 e o arquivo maior é para sistemas baseados em x64.

Para obter mais informações sobre como gerenciar a Inicialização Segura, consulte Firmware UEFI.

Atenção

Quando a Inicialização Segura está desativada, todas as configurações relacionadas à Inicialização Segura e UEFI são redefinidas. Você deve desativar a Inicialização Segura somente quando todos os outros meios para desativar a proteção LSA falharem.

Verificar a proteção LSA

Para determinar se o LSA é iniciado no modo protegido quando o Windows é iniciado, execute as seguintes etapas:

  1. Abra o Visualizador de Eventos.
  2. Expanda Registos do Windows>Sistema.
  3. Procure o seguinte evento WinInit : 12: LSASS.exe foi iniciado como um processo protegido com nível: 4.

LSA e Guarda de Credenciais

A proteção LSA é um recurso de segurança que protege informações confidenciais, como credenciais, contra roubo, bloqueando a injeção de código LSA não confiável e o despejo de memória de processo. A proteção LSA é executada em segundo plano, isolando o processo LSA em um contêiner e impedindo que outros processos, como atores ou aplicativos mal-intencionados, acessem o recurso. Esse isolamento torna a proteção LSA um recurso de segurança vital, e é por isso que ela é habilitada por padrão no Windows 11.

A partir do Windows 10, o Credential Guard também ajuda a prevenir ataques de roubo de credenciais, protegendo hashes de palavras-passe NTLM, tickets de concessão de tickets Kerberos (TGTs) e credenciais armazenadas por aplicações como credenciais de domínio. Kerberos, NTLM e Gerenciador de Credenciais isolam segredos usando segurança baseada em virtualização (VBS).

Quando o Credential Guard está habilitado, o processo LSA se comunica com um componente chamado processo LSA isolado, ou LSAIso.exe, que armazena e protege segredos. Os dados armazenados pelo processo LSA isolado são protegidos usando VBS e não são acessíveis para o resto do sistema operacional. LSA usa chamadas de procedimento remoto para se comunicar com o processo LSA isolado.

A partir da versão 22H2 do Windows 11, o VBS e o Credential Guard são habilitados por padrão em todos os dispositivos que atendem aos requisitos do sistema. O Credential Guard é suportado apenas em dispositivos de Inicialização Segura de 64 bits. A proteção LSA e o Credential Guard são complementares, e os sistemas que suportam o Credential Guard ou o habilitam por padrão também podem habilitar e se beneficiar da proteção LSA. Para obter mais informações sobre o Credential Guard, consulte a Visão Geral do Credential Guard.

Mais recursos