为什么应该启用 LSA 保护

本地安全机构 (LSA) 子系统服务是 Microsoft Windows 中的一个进程，用于验证登录尝试、密码更改、创建访问令牌以及与 Windows 身份验证和授权协议相关的其他重要任务。

Microsoft Windows 一直是网络犯罪分子的主要目标。明显的原因是它是最流行的操作系统。网络犯罪分子会尝试多种技术来访问 Windows 系统，然后尝试使用他们拥有的权限来访问其他系统和帐户。因此，为了保证 Windows 系统和帐户的安全，您可以做的最重要的事情之一就是保护本地安全机构子系统。

攻击者依靠各种工具（例如 Mimikatz 和 LSAdump）从内存中转储密码哈希值或明文密码。通过在 Windows 上启用 LSA 保护，您将可以更好地控制如何访问内存中存储的信息，并有望防止不受保护的进程访问数据。

什么是受保护的进程

受保护的进程是一种新的安全模型，已在内核中实施以防止代码注入攻击。如果进程遵循 Microsoft 安全开发生命周期 (SDL)，则该进程将被视为受保护。加载到受保护进程中的任何非 Windows DLL 都必须使用适当的证书进行签名。

如何启用LSA保护

首先，由于 LSA 保护是通过注册表控制的，因此您可以使用组策略在网络上的所有设备上启用它。为此，您需要通过在 PowerShell 中执行以下代码将 RunAsPPL 的值设置为 1：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"RunAsPPL"=dword:00000001

LSA 的设置可以在 SYSTEM\CurrentControlSet\Control\Lsa 中找到

图片来源：https://itm4n.github.io/lsass-runasppl/

测试 LSA 保护的最佳实践

根据 Microsoft 有关配置附加 LSA 保护的文档，在整个网络中部署 LSA 保护之前，最好先识别组织内使用的所有 LSA 插件和驱动程序。您还应该检查所有 LSA 插件是否都使用 Microsoft 证书进行数字签名、正确签名的插件是否可以成功加载到 LSA 中以及它们是否按预期运行。您还可以使用审核日志来识别无法作为受保护进程运行的 LSA 插件和驱动程序。如果您想简化该过程，可以使用 PowerShell 脚本来检查 LSA 是否在特定计算机上正确启用，并执行必要的检查和平衡，以确保其正常运行。