Настройка добавленной защиты LSA

  • Статья

В этой статье объясняется, как настроить добавленную защиту для процесса локального центра безопасности (LSA), чтобы предотвратить внедрение кода, которое может компрометировать учетные данные.

Система LSA, в которую входит процесс службы LSASS, проверяет пользователей во время локального и удаленного входа и применяет локальные политики безопасности. Начиная с Windows 8.1 и более поздних версий, добавлена защита для LSA, чтобы предотвратить внедрение памяти и кода незащищенными процессами. Эта функция обеспечивает дополнительную безопасность для учетных данных, которые хранятся и управляются LSA. Дополнительная защита достигается при использовании блокировки UEFI и безопасной загрузки, так как отключение раздела реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa не действует.

Требования к защищенным процессам для подключаемых модулей и драйверов

Для успешной загрузки подключаемого модуля или драйвера LSA в качестве защищенного процесса он должен соответствовать следующим условиям.

Проверка подписи

Для защищенного режима требуется любой подключаемый модуль, загруженный в LSA, для цифровой подписи с помощью подписи Майкрософт. Все подключаемые модули, которые не подписаны или не подписаны с помощью подписи Майкрософт, не загружаются в LSA. Примерами подключаемых модулей являются интеллектуальные карта драйверы, криптографические подключаемые модули и фильтры паролей.

  • Подключаемые модули LSA, которые являются драйверами, например драйверы смарт-карт, должны заверяться с помощью сертификации WHQL. Дополнительные сведения см. в разделе Сигнатуры выпуска WHQL.
  • Подключаемые модули LSA, у которых нет процесса сертификации WHQL, должны быть подписаны с помощью службы подписи файлов для LSA.

Руководство по обеспечению соблюдения жизненного цикла разработки безопасности Майкрософт (SDL)

  • Все подключаемые модули должны соответствовать применимым рекомендациям по процессу SDL. Дополнительные сведения см. в руководстве по процессу жизненного цикла разработки безопасности Майкрософт (SDL).
  • Даже если подключаемые модули правильно подписаны с помощью подписи Майкрософт, несоответствие с процессом SDL может привести к сбою загрузки подключаемого модуля.

Используйте следующий список для тщательного тестирования включения защиты LSA перед развертыванием функции.

  • Определите все подключаемые модули LSA и драйверы, которые использует ваша организация. Включите драйверы, отличные от Майкрософт, или подключаемые модули, такие как смарт-карта драйверы и криптографические подключаемые модули, а также любое внутренне разработанное программное обеспечение, которое используется для принудительного применения фильтров паролей или уведомлений об изменении пароля.
  • Убедитесь, что все подключаемые модули LSA имеют цифровую подпись с сертификатом Майкрософт, чтобы они не загружались под защитой LSA.
  • Убедитесь, что все имеющие нужные подписи подключаемые модули успешно загружаются в LSA и работают ожидаемым образом.
  • Изучите журналы аудита, чтобы определить подключаемые модули и драйверы LSA, которые не удалось загрузить в качестве защищенного процесса.

Ограничения включения защиты LSA

Если добавлена защита LSA включена, вы не сможете выполнить отладку пользовательского подключаемого модуля LSA. Вы не можете подключить отладчик к LSASS, когда это защищенный процесс. Как правило, не поддерживается отладка выполняемого защищенного процесса.

Аудит подключаемых модулей И драйверов LSA, которые не загружаются в качестве защищенного процесса.

Перед включением защиты LSA используйте режим аудита для идентификации подключаемых модулей И драйверов LSA, которые не будут загружаться в защищенном режиме LSA. В режиме аудита система создает журналы событий, которые определяют все подключаемые модули и драйверы, которые не загружают в LSA, если защита LSA включена. Сообщения регистрируются без фактической блокировки подключаемых модулей или драйверов.

События, описанные в этом разделе, находятся в Просмотр событий в операционном журнале в разделе "Приложения и службы Журналы>Microsoft>Windows>CodeIntegrity". Эти события помогут определить подключаемые модули LSA и драйверы, которые не загружались из-за причин подписывания. Для управления этими событиями можно использовать средство командной строки wevtutil . Сведения об этом инструменте см. в разделе Wevtutil.

Внимание

События аудита не создаются, если smart App Control включен на устройстве. Чтобы проверка или изменить состояние включения smart App Control, откройте приложение Безопасность Windows и перейдите на страницу управления приложением и браузером. Выберите параметры smart App Control, чтобы проверка состояние включения, и измените конфигурацию на off, если вы пытаетесь проверить добавленную защиту LSA.

Примечание.

Режим аудита для добавленной защиты LSA включен по умолчанию на устройствах под управлением Windows 11 версии 22H2 и выше. Если устройство выполняет эту сборку или более позднюю версию, для аудита добавленной защиты LSA не требуются другие действия.

Включение режима аудита для LSASS.exe на одном компьютере

  1. Откройте редактор реестра (RegEdit.exe) и перейдите к разделу реестра по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
  2. Задайте для раздела реестра значение AuditLevel=dword:00000008.
  3. Перезагрузите компьютер.

После выполнения этих действий проанализируйте результаты события 3065 и события 3066. В Просмотр событий проверка для этих событий в операционном журнале в разделе "Приложения и службы" журналы>Microsoft>Windows>CodeIntegrity.

  • Событие 3065 записывает, что целостность кода проверка определила, что процесс, обычно LSASS.exe, попытался загрузить драйвер, который не соответствовал требованиям безопасности для общих разделов. Однако из-за установленной в настоящее время политики системы образ был разрешен для загрузки.
  • Событие 3066 записывает, что целостность кода проверка определила, что процесс, как правило, LSASS.exe, попытался загрузить драйвер, который не соответствовал требованиям уровня подписи Майкрософт. Однако из-за установленной в настоящее время политики системы образ был разрешен для загрузки.

Если подключаемый модуль или драйвер содержит общие сеансы, то вместе с событием 3065 записывается событие 3066. Удаление общих разделов должно препятствовать возникновению обоих событий, если подключаемый модуль не соответствует требованиям уровня подписи Майкрософт.

Внимание

Эти операционные события не создаются, когда отладчик ядра подключен и включен в системе.

Включение режима аудита для LSASS.exe на нескольких компьютерах

Чтобы включить режим аудита для нескольких компьютеров в домене, можно использовать расширение клиента реестра для групповой политики для развертывания значения реестра на уровне аудита LSASS.exe. Необходимо изменить раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution\LSASS.exe реестра.

  1. Откройте консоль управления групповыми политиками (GPMC), введя gpmc.msc в диалоговом окне "Запуск" или выбрав консоль управления групповыми политиками из меню .
  2. Создайте объект групповой политики, связанный на уровне домена или связанный с подразделением, содержащим учетные записи компьютера. Или выберите объект групповой политики, который уже развернут.
  3. Щелкните правой кнопкой мыши объект групповой политики и выберите пункт "Изменить ", чтобы открыть редактор управления групповыми политиками.
  4. Разверните параметры конфигурации>>компьютера Параметры Windows.
  5. Щелкните правой кнопкой мыши реестр, выберите пункт "Создать" и выберите элемент реестра. Откроется диалоговое окно "Новые свойства реестра".
  6. В списке Hive выберите HKEY_LOCAL_MACHINE.
  7. В списке "Путь к ключу" перейдите к SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
  8. В поле "Имя значения" введите AuditLevel.
  9. В поле "Тип значения" выберите REG_DWORD.
  10. В поле данных "Значение" введите 00000008.
  11. Нажмите ОК.

Примечание.

Чтобы объект групповой политики действовал, изменение объекта групповой политики должно быть реплика для всех контроллеров домена в домене.

Чтобы включить добавленную защиту LSA на нескольких компьютерах, можно использовать расширение "Клиентская часть реестра" для групповой политики для изменения HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Инструкции см. в разделе "Настройка защиты учетных данных LSA" далее в этой статье.

Определение подключаемых модулей и драйверов, которые LSASS.exe не удалось загрузить

Если включена защита LSA, система создает журналы событий, которые определяют все подключаемые модули и драйверы, которые не загружают в LSA. После включения защиты LSA можно использовать журнал событий для идентификации подключаемых модулей И драйверов LSA, которые не загружались в режиме защиты LSA.

Проверьте наличие следующих событий в Просмотр событий Application and Services Logs>Microsoft>Windows>CodeIntegrity>Operations:

  • Событие 3033 записывает, что проверка целостности кода определяет, что процесс, как правило, LSASS.exe, попытался загрузить драйвер, который не соответствовал требованиям уровня подписи Майкрософт.
  • Событие 3063 записывает, что целостность кода проверка определила, что процесс, обычно LSASS.exe, попытался загрузить драйвер, который не соответствовал требованиям безопасности для общих разделов.

Общие разделы обычно являются результатом программирования, которые позволяют данным экземпляра взаимодействовать с другими процессами, которые используют тот же контекст безопасности, что может создавать уязвимости безопасности.

Включение и настройка добавленной защиты учетных данных LSA

Вы можете настроить добавленную защиту LSA для устройств под управлением Windows 8.1 или более поздней версии или Windows Server 2012 R2 или более поздней версии с помощью процедур, описанных в этом разделе.

Устройства, использующие безопасную загрузку и UEFI

При включении защиты LSA на устройствах на основе x86 или x64, использующих безопасную загрузку или UEFI, можно хранить переменную UEFI в встроенном ПО UEFI с помощью раздела реестра или политики. Если включена блокировка UEFI, LSASS выполняется как защищенный процесс, и этот параметр хранится в переменной UEFI в встроенном ПО.

Если параметр хранится в встроенном ПО, переменная UEFI не может быть удалена или изменена, чтобы настроить добавленную защиту LSA, изменив реестр или политику. Переменная UEFI должна быть сброшена с помощью инструкций по удалению переменной UEFI защиты LSA.

Если этот параметр включен без блокировки UEFI, LSASS выполняется как защищенный процесс, и этот параметр не хранится в переменной UEFI. Этот параметр применяется по умолчанию на устройствах с новой установкой Windows 11 версии 22H2 или более поздней.

На устройствах на основе x86 или x64, которые не поддерживают UEFI или где отключена безопасная загрузка, вы не можете сохранить конфигурацию для защиты LSA в встроенном ПО. Эти устройства полагаются исключительно на наличие раздела реестра. В этом сценарии можно отключить защиту LSA с помощью удаленного доступа к устройству. Отключение защиты LSA не вступило в силу до перезагрузки устройства.

Автоматическое включение

Для клиентских устройств под управлением Windows 11 версии 22H2 и более поздних версий добавлена защита LSA по умолчанию, если выполнены следующие критерии:

  • Устройство — это новая установка Windows 11 версии 22H2 или более поздней версии, не обновленная из предыдущего выпуска.
  • Устройство присоединено к организации (присоединено к домену Active Directory, присоединено к домену Microsoft Entra или присоединено к гибридному домену Microsoft Entra).
  • Устройство может обеспечить целостность кода, защищенного гипервизором (HVCI).

Автоматическое включение добавленной защиты LSA в Windows 11 версии 22H2 и более поздних версий не задает переменную UEFI для этой функции. Если вы хотите задать переменную UEFI, можно использовать конфигурацию реестра или политику.

Примечание.

Для устройств под управлением Windows RT 8.1 добавлена защита LSA всегда включена, и ее невозможно отключить.

Включение защиты LSA на одном компьютере

Вы можете включить защиту LSA на одном компьютере с помощью реестра или с помощью локальной групповой политики.

Включение с помощью реестра

  1. Откройте RegEdit.exe редактора реестра и перейдите к разделу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  2. Задайте для раздела реестра значение:
    • "RunAsPPL"=dword:00000001 для настройки функции с переменной UEFI.
    • "RunAsPPL"=dword:00000002 для настройки функции без переменной UEFI, применяемой только в сборке 22H2 и более поздней сборке Windows 11.
  3. Перезагрузите компьютер.

Включение с помощью локальной групповой политики в Windows 11 версии 22H2 и более поздних версий

  1. Откройте редактор локальной групповой политики, введя gpedit.msc.
  2. Разверните конфигурацию> компьютера Администратор istrative templates>System>Local Security Authority.
  3. Откройте службу Настройки LSASS для запуска в качестве защищенной политики процесса.
  4. Задайте для политики значение "Включено".
  5. В разделе "Параметры" выберите один из следующих параметров.
    • Включена блокировка UEFI для настройки функции с переменной UEFI .
    • Включен без блокировки UEFI для настройки функции без переменной UEFI.
  6. Нажмите ОК.
  7. Перезагрузите компьютер.

Включение защиты LSA с помощью групповой политики

  1. Откройте GPMC, введя gpmc.msc в диалоговом окне "Запуск" или выбрав консоль управления групповыми политиками из меню .
  2. Создайте объект групповой политики, связанный на уровне домена или связанный с подразделением, содержащим учетные записи компьютера. Или выберите объект групповой политики, который уже развернут.
  3. Щелкните правой кнопкой мыши объект групповой политики и выберите пункт "Изменить ", чтобы открыть редактор управления групповыми политиками.
  4. Разверните параметры конфигурации>>компьютера Параметры Windows.
  5. Щелкните правой кнопкой мыши реестр, выберите пункт "Создать" и выберите элемент реестра. Откроется диалоговое окно "Новые свойства реестра".
  6. В списке Hive выберите HKEY_LOCAL_MACHINE.
  7. В списке пути к ключу перейдите к SYSTEM\CurrentControlSet\Control\Lsa.
  8. В поле "Имя значения" введите RunAsPPL.
  9. В поле "Тип значения" выберите REG_DWORD.
  10. В поле данных "Значение" введите следующее:
    • 00000001 включить защиту LSA с помощью переменной UEFI.
    • 00000002 для включения защиты LSA без переменной UEFI, применяемой только в Windows 11 версии 22H2 и более поздних версий.
  11. Нажмите ОК.

Включение защиты LSA путем создания пользовательского профиля конфигурации устройства

Для устройств под управлением Windows 11 версии 22H2 и более поздних версий можно включить и настроить защиту LSA, создав настраиваемый профиль конфигурации устройств в Центре администрирования Microsoft Intune.

  1. В Центре администрирования Intune перейдите к профилям конфигурации Windows>для устройств>и выберите "Создать профиль".
  2. На экране "Создание профиля" выберите следующие параметры:
    • Платформа: Windows 10 и более поздних версий
    • Тип профиля: выберите шаблоны и выберите "Настраиваемый".
  3. Нажмите кнопку создания.
  4. На экране "Основы" введите имя и необязательное описание профиля, а затем нажмите кнопку "Далее".
  5. На экране параметров конфигурации нажмите кнопку "Добавить".
  6. На экране добавления строки укажите следующие сведения:
    • Имя: укажите имя параметра OMA-URI.
    • OMA-URI: введите ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
    • Тип данных: выбор целочисленного числа.
    • Значение: введите 1 , чтобы настроить LSASS для запуска в качестве защищенного процесса с блокировкой UEFI или 2 , чтобы настроить LSASS для запуска в качестве защищенного процесса без блокировки UEFI.
  7. Выберите Сохранить, затем выберите Далее.
  8. На странице "Назначения" настройте назначения и нажмите кнопку "Далее".
  9. На странице "Правила применимости" настройте все правила применимости и нажмите кнопку "Далее".
  10. На странице "Проверка и создание" проверьте конфигурацию и нажмите кнопку "Создать".
  11. Перезагрузите компьютер.

Дополнительные сведения об этой политике CSP см. в разделе LocalSecurityAuthority — ConfigureLsaProtectedProcess.

Отключение защиты LSA

Защиту LSA можно отключить с помощью реестра или с помощью локальной групповой политики. Если устройство использует безопасную загрузку и устанавливаете переменную UEFI защиты LSA в встроенном ПО, можно использовать средство для удаления переменной UEFI.

Отключение с помощью реестра

  1. Откройте редактор реестра, RegEdit.exe и перейдите к разделу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  2. Задайте для раздела реестра значение RunAsPPL=dword:00000000 или удалите DWORD.
  3. Если PPL была включена с переменной UEFI, используйте средство отказа от защиты локального центра безопасности для удаления переменной UEFI.
  4. Перезагрузите компьютер.

Отключение с помощью локальной политики в Windows 11 версии 22H2 и более поздних версий

  1. Откройте редактор локальной групповой политики, введя gpedit.msc.
  2. Разверните конфигурацию> компьютера Администратор istrative templates>System>Local Security Authority.
  3. Откройте службу Настройки LSASS для запуска в качестве защищенной политики процесса.
  4. Задайте для политики значение "Включено".
  5. В разделе "Параметры" выберите "Отключено".
  6. Нажмите ОК.
  7. Перезагрузите компьютер.

Примечание.

Если эта политика не настроена и политика была включена ранее, то предыдущий параметр не очищается и продолжает применяться. Чтобы отключить эту функцию, необходимо задать для политики значение "Отключено" в раскрывающемся списке "Параметры ".

Удаление переменной UEFI защиты LSA

Для удаления переменной UEFI, если устройство использует безопасную загрузку, можно использовать средство отказа от защиты от использования локального центра безопасности (LSAPPLConfig).

Примечание.

Центр загрузки предлагает два файла с именем LsaPplConfig.efi. Меньший файл предназначен для систем на основе x86, а более крупный файл предназначен для систем на основе x64.

Дополнительные сведения об управлении безопасной загрузкой см. в статье UEFI Firmware.

Внимание

Когда выключается безопасная загрузка, сбрасываются все параметры конфигурации, относящиеся к UEFI и безопасной загрузке. Выключать безопасную загрузку следует только в том случае, если не удалось отключить защиту LSA ни одним из других способов.

Проверка защиты LSA

Чтобы определить, запущена ли LSA в защищенном режиме при запуске Windows, проверка систему журналов>Windows в Просмотр событий для следующего события WinInit:

  • 12: LSASS.exe был запущен как защищенный процесс с уровнем: 4

LSA и Credential Guard

Защита LSA — это функция безопасности, которая защищает конфиденциальные данные, такие как учетные данные от кражи, блокируя ненадежное внедрение кода LSA и дамп памяти обработки. Защита LSA выполняется в фоновом режиме, изолируя процесс LSA в контейнере и предотвращая другие процессы, такие как вредоносные субъекты или приложения, от доступа к этой функции. Эта изоляция делает защиту LSA жизненно важной функцией безопасности, поэтому она включена по умолчанию в Windows 11.

Начиная с Windows 10, Credential Guard также помогает предотвратить атаки кражи учетных данных путем защиты хэшей паролей NTLM, запросов Kerberos Ticket Granting Tickets (TGTs) и учетных данных, хранящихся приложениями в качестве учетных данных домена. Kerberos, NTLM и Credential Manager изолируют секреты с помощью безопасности на основе виртуализации (VBS).

С включенной функцией Credential Guard процесс LSA взаимодействует с компонентом, который называется изолированным процессом LSA или LSAIso.exe, который хранит и защищает секреты. Данные, хранящиеся изолированным процессом LSA, защищены с помощью VBS и недоступны для остальной части операционной системы. LSA использует удаленные вызовы процедур для взаимодействия с изолированным процессом LSA.

Начиная с Windows 11 версии 22H2, VBS и Credential Guard по умолчанию включены на всех устройствах, которые соответствуют требованиям к системе. Credential Guard поддерживается только на 64-разрядных устройствах безопасной загрузки. Защита LSA и Credential Guard являются дополнительными, а системы, поддерживающие Credential Guard или включенные по умолчанию, также могут включать и использовать защиту LSA. Дополнительные сведения о Credential Guard см. в обзоре Credential Guard.

Дополнительные ресурсы