了解 LSA 保护

保护 Windows 服务器和 Windows 10 的运行至关重要，尤其是考虑到当今复杂的威胁形势。这些通常是通过利用链条中最薄弱的环节（用户）而受到攻击的第一批机器。通过欺骗和社会工程，威胁行为者可以访问这些机器，然后寻求横向移动并提升他们的特权。因此，增强端点和服务器安全性可以显着降低安全漏洞的风险。

强化服务器可以做的一件事是保护本地安全机构 (LSA)。 LSA 控制和管理用户权限信息、密码散列和内存中的其他重要信息。攻击者工具（例如 mimikatz）依靠访问此内容来抓取密码哈希值或明文密码。启用 LSA 保护可将 Windows 配置为以更安全的方式控制存储在内存中的信息，特别是防止未受保护的进程访问该数据。

什么是受保护的进程？

当进程满足此 Microsoft 文档中描述的条件时，该进程被视为受保护。总而言之，如果某个进程具有来自 Microsoft 的经过验证的签名并且遵守 Microsoft 安全开发生命周期 (SDL)，则该进程被视为受保护。如果不满足这两个条件，则进程无法访问内存中 LSA 正在使用的内容。

如何启用LSA保护

由于 LSA 保护是通过注册表控制的，因此您可以使用组策略在所有设备上轻松启用它：只需将 RunAsPPL 的值设置为 1。可以找到此设置在注册表中的SYSTEMCurrentControlSetControlLsa。

可以利用以下代码作为 .reg 文件将此值设置为 1：

*Code Block*

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]

"RunAsPPL"=dword:00000001

*Code Block*

检查您的设置

要验证每个服务器是否受到保护，您可以导航到上述注册表部分并确认该值设置为 1。

但是，为了使工作变得更容易，我在下面提供了一个 PowerShell 脚本，使您能够远程查询特定计算机的值（假设存在正确的访问权限）。只需将 [SAMPLEHOST] 替换为计算机的主机名即可。此代码将返回 0、1 或指示 RunAsPPL 属性不存在的异常。除非返回 1，否则不会在目标计算机上启用该设置。

*Code Block*

invoke-command -Computer [SAMPLEHOST] {Get-itempropertyvalue -Path "HKLM:SYSTEMCurrentControlSetControlLsa" -Name RunAsPPL}

*Code Block*