Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du konfigurerar extra skydd för LSA-processen (Local Security Authority) för att förhindra kodinmatning som kan kompromettera autentiseringsuppgifter.
LSA, som omfattar LSASS-processen (Local Security Authority Server Service), validerar användarna för lokala och fjärranslutna inloggningar och tillämpar lokala säkerhetsprinciper. I Windows 8.1 och senare tillhandahålls ytterligare skydd för LSA för att förhindra att icke-skyddade processer läser minne och matar in kod. Den här funktionen ger ökad säkerhet för de autentiseringsuppgifter som LSA lagrar och hanterar. Du kan uppnå ytterligare skydd när du använder UEFI-lås (Unified Extensible Firmware Interface) och Säker start. När de här inställningarna är aktiverade har inaktivering avHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registernyckeln ingen effekt.
Skyddade processkrav för plugin-program eller drivrutiner
För att ett LSA-plugin-program eller en drivrutin ska kunna läsas in som en skyddad process måste den uppfylla kriterierna i följande två avsnitt.
Signaturverifiering
Skyddat läge kräver att alla plugin-program som läses in i LSA är digitalt signerade med en Microsoft-signatur. Alla plugin-program som är osignerade eller inte är signerade med en Microsoft-signatur kan inte läsas in i LSA. Exempel på plugin-program är smartkortsdrivrutiner, kryptografiska plugin-program och lösenordsfilter.
- LSA-plugin-program som är drivrutiner, till exempel smartkortsdrivrutiner, måste signeras med hjälp av CERTIFIERING av Windows Hardware Quality Labs (WHQL). Mer information finns i WHQL-versionssignatur.
- LSA-plugin-program som inte har någon WHQL-certifieringsprocess måste signeras med hjälp av filsigneringstjänsten för LSA.
Följ riktlinjerna för Microsoft Security Development Lifecycle (SDL)
- Alla plugin-program måste följa tillämpliga riktlinjer för SDL-processen. Mer information finns i Microsoft Security Development Lifecycle (SDL) – processvägledning.
- Även om plugin-programmen är korrekt signerade med en Microsoft-signatur kan inkompatibilitet med SDL-processen leda till att det inte går att läsa in ett plugin-program.
Rekommenderade metoder
Använd följande lista för att noggrant testa aktivering av LSA-skydd innan du distribuerar funktionen i stort:
- Identifiera alla LSA-plugin-program och drivrutiner som din organisation använder. Inkludera drivrutiner eller plugin-program som inte kommer från Microsoft, till exempel smartkortsdrivrutiner och kryptografiska plugin-program, och eventuell internt utvecklad programvara som används för att framtvinga lösenordsfilter eller meddelanden om lösenordsändring.
- Kontrollera att alla LSA-plugin-program är digitalt signerade med ett Microsoft-certifikat så att de inte misslyckas att laddas under LSA-skydd.
- Se till att alla korrekt signerade plugin-program kan läsas in i LSA och att de fungerar som förväntat.
- Använd granskningsloggarna för att identifiera eventuella LSA-plugin-program och drivrutiner som inte kan köras som en skyddad process.
Begränsningar för att aktivera LSA-skydd
Om LSA-skydd har lagts till kan du inte felsöka ett anpassat LSA-plugin-program. Du kan inte koppla ett felsökningsprogram till LSASS när det är en skyddad process. I allmänhet finns det inget sätt att felsöka en skyddad process som körs.
Granska LSA-plugins och drivrutiner som inte läses in som en skyddad process
Innan du aktiverar LSA-skydd använder du granskningsläget för att identifiera LSA-plugin-program och drivrutiner som inte kan läsas in i LSA-skyddat läge. I granskningsläge genererar systemet händelseloggar som identifierar alla plugin-program och drivrutiner som inte kan läsas in under LSA om LSA-skydd är aktiverat. Meddelandena loggas utan att blockera plugin-program eller drivrutiner.
Händelserna som beskrivs i det här avsnittet registreras i Loggboken i driftloggen under Program- och tjänstloggar>Microsoft>Windows>CodeIntegrity. Dessa händelser kan hjälpa dig att identifiera LSA-plugin-program och drivrutiner som inte kan läsas in på grund av signeringsorsaker. Om du vill hantera dessa händelser kan du använda kommandoradsverktyget wevtutil . Information om det här verktyget finns i Wevtutil.
Viktigt!
Granskningshändelser genereras inte om Smart App Control är aktiverat på en enhet. Om du vill kontrollera eller ändra status för Smart App Control öppnar du Windows-säkerhetsprogrammet och går till kontrollsidan app och webbläsare . Välj Inställningar för smart appkontroll för att kontrollera om Smart App Control är aktiverat. Om du vill granska LSA-skydd som lagts till ändrar du konfigurationen till Av.
Anmärkning
Granskningsläget för det tillagda LSA-skyddet är aktiverat som standard på enheter som kör Windows 11 version 22H2 och senare. Om enheten kör den här versionen eller senare behövs inga andra åtgärder för att granska LSA-skydd som lagts till.
Aktivera granskningsläge för LSASS.exe på en enda dator
- Öppna Registereditorn eller ange RegEdit.exe i dialogrutan Kör och gå sedan till HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe registernyckel.
- Öppna värdet AuditLevel . Ange dess datatyp till dword och dess datavärde till 00000008.
- Starta om datorn.
När du har vidtagit de här stegen letar du efter händelser som har följande ID: 3065 och 3066. Om du vill söka efter dessa händelser öppnar du Loggboken och expanderar sedan Program- och tjänstloggar>Microsoft>Windows>CodeIntegrity>Operational.
- Händelse 3065 inträffar när en kodintegritetskontroll avgör att en process, vanligtvis LSASS.exe, försöker läsa in en drivrutin som inte uppfyller säkerhetskraven för delade avsnitt. Men på grund av den systempolicy som för närvarande har angetts får avbildningen laddas in.
- Händelse 3066 inträffar när en kodintegritetskontroll avgör att en process, vanligtvis LSASS.exe, försöker läsa in en drivrutin som inte uppfyller kraven på Microsoft-signeringsnivå. Men på grund av den systempolicy som för närvarande har angetts får avbildningen laddas in.
Om ett plugin-program eller en drivrutin innehåller delade avsnitt loggas händelse 3066 med händelse 3065. Om du tar bort de delade avsnitten bör du förhindra att båda händelserna inträffar om inte plugin-programmet uppfyller kraven på Microsoft-signeringsnivå.
Viktigt!
Dessa drifthändelser genereras inte när ett kernelfelsökare är anslutet och aktiverat i ett system.
Aktivera granskningsläge för LSASS.exe på flera datorer
Om du vill aktivera granskningsläge för flera datorer i en domän kan du använda registerklient-sidotillägget för grupprincip för att distribuera registervärdet för granskningsnivå LSASS.exe. Du måste ändra registernyckeln för HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe .
- Öppna konsolen Grupprinciphantering genom att ange gpmc.msc i dialogrutan Kör eller välja Konsolen grupprinciphantering på Start-menyn .
- Skapa ett nytt grupprincipobjekt (GPO) som är länkat på domännivå eller länkat till den organisationsenhet som innehåller dina datorkonton. Eller välj ett grupprincipobjekt som redan har implementerats.
- Högerklicka på grupprincipobjektet och välj sedan Redigera för att öppna redigeraren för grupprinciphantering.
- Expandera Inställningar för datorkonfiguration>>Windows-inställningar.
- Högerklicka på Register, peka på Nytt och välj sedan Registerobjekt. Dialogrutan Egenskaper för nytt register visas.
- I dialogrutan Egenskaper för nytt register väljer eller anger du följande värden:
- För Hive väljer du HKEY_LOCAL_MACHINE.
- För Nyckelsökväg väljer du PROGRAMVARA\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
- Som Värdenamn anger du AuditLevel.
- För Värdetyp väljer du REG_DWORD.
- För Värdedata anger du 00000008.
- Välj OK.
Anmärkning
För att GPO ska träda i kraft måste GPO-ändringen replikeras till alla domänkontrollanter i domänen.
För att välja att lägga till extra LSA-skydd på flera datorer kan du använda registerklientsidans tillägg för grupprincip för att ändra HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Anvisningar finns i Aktivera och konfigurera LSA-skydd för autentiseringsuppgifter senare i den här artikeln.
Identifiera insticksprogram och drivrutiner som LSASS.exe inte kan laddas
När LSA-skydd är aktiverat genererar systemet händelseloggar som identifierar alla plugin-program och drivrutiner som inte kan läsas in under LSA. När du har valt att lägga till LSA-skydd kan du använda händelseloggen för att identifiera LSA-plugin-program och drivrutiner som inte kan läsas in i LSA-skyddsläge.
Sök efter följande händelser i Loggboken genom att expandera Program- och tjänstloggar>Microsoft>Windows>CodeIntegrity>Operational:
- Händelse 3033 inträffar när en kodintegritetskontroll avgör att en process, vanligtvis LSASS.exe, försöker läsa in en drivrutin som inte uppfyller kraven på Microsoft-signeringsnivå.
- Händelse 3063 inträffar när en kodintegritetskontroll fastställer att en process, vanligtvis LSASS.exe, försöker läsa in en drivrutin som inte uppfyller säkerhetskrav för delade avsnitt.
Delade avsnitt resulterar vanligtvis när programmeringstekniker tillåter att instansdata interagerar med andra processer som använder samma säkerhetskontext. Delade avsnitt kan skapa säkerhetsrisker.
Aktivera och konfigurera tilläggsskydd för LSA-autentiseringsuppgifter
Du kan konfigurera LSA-skydd för enheter som kör Windows 8.1 eller senare, eller Windows Server 2012 R2 eller senare, med hjälp av procedurerna i det här avsnittet.
Enheter som använder säker start och UEFI
När du aktiverar LSA-skydd på x86-baserade eller x64-baserade enheter som använder Säker start eller UEFI, kan du lagra en UEFI-variabel i UEFI:s inbyggda programvara med hjälp av en registernyckel eller princip. När det är aktiverat med UEFI-lås körs LSASS som en skyddad process, och den här inställningen lagras i en UEFI-variabel i den inbyggda programvaran.
När inställningen lagras i den inbyggda programvaran kan UEFI-variabeln inte tas bort eller ändras för att konfigurera det tillagda LSA-skyddet genom att ändra registret eller principen. UEFI-variabeln måste återställas med hjälp av anvisningarna i Ta bort UEFI-variabeln LSA-skydd.
När det är aktiverat utan UEFI-lås körs LSASS som en skyddad process, och den här inställningen lagras inte i en UEFI-variabel. Den här inställningen tillämpas som standard på enheter med en ny installation av Windows 11 version 22H2 eller senare.
På x86-baserade eller x64-baserade enheter som inte stöder UEFI eller där säker start är inaktiverad kan du inte lagra konfigurationen för LSA-skydd i den inbyggda programvaran. Dessa enheter förlitar sig enbart på förekomsten av registernyckeln. I det här scenariot är det möjligt att inaktivera LSA-skydd med hjälp av fjärråtkomst till enheten. Inaktivering av LSA-skydd börjar inte gälla förrän enheten startas om.
Automatisk aktivering
För klientenheter som kör Windows 11 version 22H2 och senare aktiveras LSA-skydd som standard om följande villkor uppfylls:
- Enheten är en ny installation av Windows 11 version 22H2 eller senare, inte uppgraderad från en tidigare version.
- Enheten är företagsansluten (Active Directory-domänansluten, Microsoft Entra-domänansluten eller Hybrid Microsoft Entra-domänansluten).
- Enheten kan använda hypervisorskyddad kodintegritet (HVCI).
Automatisk aktivering av LSA-skydd i Windows 11 version 22H2 och senare anger inte någon UEFI-variabel för funktionen. Om du vill ange en UEFI-variabel kan du använda en registerkonfiguration eller princip.
Aktivera LSA-skydd på en enda dator
Du kan aktivera LSA-skydd på en enda dator med hjälp av registret eller med hjälp av lokal grupprincip.
Aktivera med hjälp av registret
- Öppna Registereditorn eller ange RegEdit.exe i dialogrutan Kör och gå sedan till HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registernyckel.
- Öppna RunAsPPL-värdet och redigera dess data:
- Om du vill konfigurera funktionen med en UEFI-variabel använder du en typ av dword och ett datavärde för 00000001.
- Om du vill konfigurera funktionen utan en UEFI-variabel använder du en typ av dword och ett datavärde för 00000002. Det här värdet tillämpas endast på Windows 11 build 22H2 och senare.
- Starta om datorn.
Aktivera med hjälp av lokal grupprincip i Windows 11 version 22H2 och senare
- Öppna redigeraren för lokal grupprincip genom att ange gpedit.msc i dialogrutan Kör .
- Expandera Datorkonfiguration>Administrativa mallar>System>Lokal säkerhetsmyndighet.
- Öppna inställningen för LSASS att köras som en skyddad process.
- Ställ in policyn till Aktiverad.
- Under Alternativ väljer du något av följande alternativ:
- Om du vill konfigurera funktionen med en UEFI-variabel väljer du Aktiverad med UEFI-lås.
- Om du vill konfigurera funktionen utan en UEFI-variabel väljer du Aktiverad utan UEFI-lås.
- Välj OK.
- Starta om datorn.
Aktivera LSA-skyddet med hjälp av grupppolicy
- Öppna konsolen Grupprinciphantering genom att ange gpmc.msc i dialogrutan Kör eller välja Konsolen grupprinciphantering på Start-menyn .
- Skapa ett nytt grupprincipobjekt som är länkat på domännivå eller länkat till den organisationsenhet som innehåller dina datorkonton. Eller välj ett grupprincipobjekt som redan har implementerats.
- Högerklicka på grupprincipobjektet och välj sedan Redigera för att öppna redigeraren för grupprinciphantering.
- Expandera Inställningar för datorkonfiguration>>Windows-inställningar.
- Högerklicka på Register, peka på Nytt och välj sedan Registerobjekt. Dialogrutan Egenskaper för nytt register visas.
- I dialogrutan Egenskaper för nytt register väljer eller anger du följande värden:
- För Hive väljer du HKEY_LOCAL_MACHINE.
- För Nyckelsökväg väljer du SYSTEM\CurrentControlSet\Control\Lsa.
- Som Värdenamn anger du RunAsPPL.
- För Värdetyp väljer du REG_DWORD.
- För Värdedata anger du något av följande värden:
- Om du vill aktivera LSA-skydd med en UEFI-variabel anger du 00000001.
- Om du vill aktivera LSA-skydd utan en UEFI-variabel anger du 00000002. Den här inställningen tillämpas endast på Windows 11 version 22H2 och senare.
- Välj OK.
Aktivera LSA-skydd genom att skapa en anpassad enhetskonfigurationsprofil
För enheter som kör Windows 11 version 22H2 och senare kan du utföra stegen i följande avsnitt för att aktivera och konfigurera LSA-skydd. Den här proceduren använder administrationscentret för Microsoft Intune för att skapa en anpassad enhetskonfigurationsprofil.
Skapa en profil
- I Administrationscentret för Intune gårdu till> för enheter> och väljer sedan Skapa profil.
- På skärmen Skapa en profil väljer du följande alternativ:
- Under Plattform väljer du Windows 10 och senare.
- Under Profiltyp väljer du Mallar och sedan Anpassad.
- Välj Skapa.
- På skärmen Grundläggande anger du ett namn och en valfri beskrivning för profilen och väljer sedan Nästa.
Lägg till inledande konfigurationsinställningar
- På skärmen Konfigurationsinställningar väljer du Lägg till.
- På skärmen Lägg till rad anger du följande information:
- Som Namn anger du ett namn för inställningen Open Mobile Alliance – Uniform Resource (OMA-URI).
- För OMA-URI anger du ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
- För Datatyp väljer du Heltal.
- För Värde anger du något av följande värden:
- Om du vill konfigurera LSASS att köras som en skyddad process med UEFI-lås anger du 1.
- Om du vill konfigurera att LSASS ska köras som en skyddad process utan UEFI-lås anger du 2.
- Välj Spara och välj sedan Nästa.
Slutför konfigurationen av profilen
- På sidan Tilldelningar konfigurerar du tilldelningarna och väljer sedan Nästa.
- På sidan Tillämplighetsregler konfigurerar du eventuella tillämplighetsregler och väljer sedan Nästa.
- På sidan Granska + skapa verifierar du konfigurationen och väljer sedan Skapa.
- Starta om datorn.
Mer information om den här principkonfigurationstjänstleverantören (CSP) finns i LocalSecurityAuthority – ConfigureLsaProtectedProcess.
Inaktivera LSA-skydd
Du kan inaktivera LSA-skydd med hjälp av registret eller med hjälp av lokal gruppolicy. Om enheten använder säker start och du anger UEFI-variabeln för LSA-skydd i den inbyggda programvaran kan du använda ett verktyg för att ta bort UEFI-variabeln.
Inaktivera med hjälp av registret
- Öppna Registereditorn eller ange RegEdit.exe i dialogrutan Kör och gå sedan till HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registernyckel.
- Öppna RunAsPPL-värdet och ange dess datavärde till 000000000. Eller ta bort RunAsPPL-värdet .
- Om PPL-funktionen (protected processes light) har aktiverats med en UEFI-variabel använder du verktyget Local Security Authority Protected Process Opt-out för att ta bort UEFI-variabeln.
- Starta om datorn.
Inaktivera med hjälp av lokal princip i Windows 11 version 22H2 och senare
- Öppna redigeraren för lokal grupprincip genom att ange gpedit.msc i dialogrutan Kör .
- Expandera Datorkonfiguration>Administrativa mallar>System>Lokal säkerhetsmyndighet.
- Öppna inställningen för LSASS att köras som en skyddad process.
- Ställ in policyn till Aktiverad.
- Under Alternativ väljer du Inaktiverad.
- Välj OK.
- Starta om datorn.
Anmärkning
Om du ställer in den här principen på Inte konfigurerad och principen tidigare har aktiverats rensas inte den tidigare inställningen och fortsätter att tillämpas. Du måste ange principen till Inaktiverad under listrutan Alternativ för att inaktivera funktionen.
Ta bort UEFI-variabeln för LSA-skydd
Du kan använda verktyget LSA(Local Security Authority) Protected Process Opt-out från Microsoft Download Center för att ta bort UEFI-variabeln om enheten använder säker start.
Anmärkning
Download Center erbjuder två filer med namnet LsaPplConfig.efi. Den mindre filen är för x86-baserade system och den större filen är för x64-baserade system.
Mer information om hur du hanterar säker start finns i UEFI-inbyggd programvara.
Försiktighet
När Säker start är inaktiverat återställs alla konfigurationer som rör säker start och UEFI. Du bör inaktivera Säker start endast när alla andra sätt att inaktivera LSA-skydd misslyckas.
Verifiera LSA-skydd
Utför följande steg för att avgöra om LSA startar i skyddat läge när Windows startar:
- Öppna Händelsevisaren.
- Expandera Windows Logs>System.
- Leta efter följande WinInit-händelse : 12: LSASS.exe startades som en skyddad process med nivå: 4.
LSA och Credential Guard
LSA-skydd är en säkerhetsfunktion som skyddar känslig information som autentiseringsuppgifter från stöld genom att blockera obetrodd LSA-kodinmatning och bearbeta minnesdumpning. LSA-skydd körs i bakgrunden genom att isolera LSA-processen i en container och hindra andra processer, till exempel skadliga aktörer eller appar, från att komma åt funktionen. Den här isoleringen gör LSA-skydd till en viktig säkerhetsfunktion, vilket är anledningen till att det är aktiverat som standard i Windows 11.
Från och med Windows 10 hjälper Credential Guard också till att förhindra stöld av autentiseringsuppgifter genom att skydda NTLM-lösenordshashvärden, Kerberos biljettbeviljande biljetter (TGT) och autentiseringsuppgifter som lagras av program som domänautentiseringsuppgifter. Kerberos, NTLM och Credential Manager isolerar hemligheter med hjälp av virtualiseringsbaserad säkerhet (VBS).
När Credential Guard är aktiverat kommunicerar LSA-processen med en komponent som kallas den isolerade LSA-processen, eller LSAIso.exe, som lagrar och skyddar hemligheter. Data som lagras av den isolerade LSA-processen skyddas med hjälp av VBS och är inte tillgängliga för resten av operativsystemet. LSA använder fjärrproceduranrop för att kommunicera med den isolerade LSA-processen.
Från och med Windows 11 version 22H2 är VBS och Credential Guard aktiverade som standard på alla enheter som uppfyller systemkraven. Credential Guard stöds endast på 64-bitars secure boot-enheter. LSA-skydd och Credential Guard kompletterar varandra, och system som stöder Credential Guard eller aktiverar det som standard kan också aktivera och dra nytta av LSA-skydd. Mer information om Credential Guard finns i Översikt över Credential Guard.