12 月 24 日消息，??本地安全機構(gòu)??（LSA）保護是 Windows 系統(tǒng)中驗證用戶身份的重要一環(huán)。LSA 管理著微軟賬號和 Azure 相關(guān)的密碼和令牌等必要的系統(tǒng)憑證。

什么是本地安全機構(gòu)（LSA）？

本地安全機構(gòu)是 Windows 操作系統(tǒng)中安全子系統(tǒng)的核心組件。本地安全機構(gòu) (LSA) 負(fù)責(zé)管理系統(tǒng)的交互式登錄。

當(dāng)用戶嘗試在登錄對話框（也就是開機進入的登錄界面）中輸入用戶名和密碼本地登錄到系統(tǒng)之后，系統(tǒng)會自動調(diào)用 LSA，將我們輸入的憑據(jù)傳遞給安全帳戶管理器（SAM）。在 SAM 中存儲了相關(guān)的管理存儲的帳戶信息。

如果通過的話，LSA 授予用戶一個訪問令牌（Access Token），其中包含用戶的個人和組 SID 及其權(quán)限。用戶執(zhí)行的每一個進程都有一個訪問令牌的副本。令牌標(biāo)識了用戶身份、用戶所屬組、用戶特權(quán)。令牌還標(biāo)識當(dāng)前登錄會話的登錄 SID 安全標(biāo)識符。

啟用 LSA 保護時引入的限制

如果啟用了其它 LSA 保護，則無法調(diào)試自定義 LSA 插件。當(dāng)調(diào)試器是受保護的進程時，無法將調(diào)試器附加到 LSASS。一般情況下，不支持調(diào)試正在運行的受保護進程。

自動啟用

對于運行 Windows 11、22H2 的客戶端設(shè)備，如果滿足以下條件，則默認(rèn)會啟用其它 LSA 保護：

• 設(shè)備是 Windows 11、22H2 (未從以前的版本) 升級的新安裝。
• 設(shè)備已加入企業(yè) (已加入 Active Directory 域、加入 Azure AD 域或加入混合 Azure AD 域) 。
• 設(shè)備能夠 (HVCI) 受虛擬機監(jiān)控程序保護的代碼完整性

在 Windows 11 上自動啟用額外的 LSA 保護，22H2 不會為該功能設(shè)置 UEFI 變量。如果要設(shè)置 UEFI 變量，可以使用注冊表配置或策略。

IT之家的網(wǎng)友們，如果想保護您的憑據(jù)免受攻擊者的攻擊，您必須啟用本地安全機構(gòu)保護。在本文中，我們將通過三種不同的方式在您的計算機上啟用本地安全機構(gòu)保護：

• 通過 Windows 安全中心方式
• 通過注冊表方式
• 使用本地組策略方式

通過 Windows 安全中心方式啟用

1. 按下 Win 鍵打開開始菜單

2. 在搜索框中搜索“Windows 安全中心”（不需要完整輸入），然后點擊“Windows 安全中心”

3. 點擊左側(cè)導(dǎo)航面板中的“設(shè)備安全性”，點擊“內(nèi)核隔離”選項下的“內(nèi)核隔離詳細(xì)信息”

4. 在跳出的頁面中勾選打開“本地安全機構(gòu)保護”

5. 在用戶賬戶控制彈窗中選擇“是”

6. 重啟電腦觀察是否生效

通過注冊表方式啟用

1. 按下 Win 鍵打開開始菜單

2. 在搜索框中搜索“regedit”（不需要完整輸入），然后點擊“注冊表編輯器”

3. 訪問“計算機 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”路徑

4. 然后雙擊 RunAsPPL 這個值，將其修改為“1”。如果注冊表中沒有的話，那么右鍵“新建”-》“DWORD（32 位）值”，將其重命名為 RunAsPPL 即可

5. 重啟電腦

通過組策略方式：

1. 使用 Win 鍵 + R 鍵組合快捷方式，然后輸入 gpedit.msc，點擊確定。

2. 展開 計算機配置-》管理模板-》系統(tǒng)，然后展開本地安全機構(gòu)。

3. 打開 “將 LSASS 配置為作為受保護進程運行”選項

4.將策略設(shè)置為“已啟用”。

5.在 “選項”下，將“配置 LSA”設(shè)置為作為受保護的進程運行，以便：

“已啟用 UEFI 鎖定”，以便使用 UEFI 變量配置該功能。

“已啟用無 UEFI 鎖定”以配置沒有 UEFI 變量的功能。

6. 重新啟動計算機。