Win11 學(xué)院：如何啟用本地安全機(jī)構(gòu)（LSA）保護(hù)功能

IT之家 12 月 24 日消息，本地安全機(jī)構(gòu)（LSA）保護(hù)是 Windows 系統(tǒng)中驗(yàn)證用戶身份的重要一環(huán)。LSA 管理著微軟賬號(hào)和 Azure 相關(guān)的密碼和令牌等必要的系統(tǒng)憑證。

什么是本地安全機(jī)構(gòu)（LSA）？

本地安全機(jī)構(gòu)是 Windows 操作系統(tǒng)中安全子系統(tǒng)的核心組件。本地安全機(jī)構(gòu) (LSA) 負(fù)責(zé)管理系統(tǒng)的交互式登錄。

當(dāng)用戶嘗試在登錄對(duì)話框（也就是開(kāi)機(jī)進(jìn)入的登錄界面）中輸入用戶名和密碼本地登錄到系統(tǒng)之后，系統(tǒng)會(huì)自動(dòng)調(diào)用 LSA，將我們輸入的憑據(jù)傳遞給安全帳戶管理器（SAM）。在 SAM 中存儲(chǔ)了相關(guān)的管理存儲(chǔ)的帳戶信息。

如果通過(guò)的話，LSA 授予用戶一個(gè)訪問(wèn)令牌（Access Token），其中包含用戶的個(gè)人和組 SID 及其權(quán)限。用戶執(zhí)行的每一個(gè)進(jìn)程都有一個(gè)訪問(wèn)令牌的副本。令牌標(biāo)識(shí)了用戶身份、用戶所屬組、用戶特權(quán)。令牌還標(biāo)識(shí)當(dāng)前登錄會(huì)話的登錄 SID 安全標(biāo)識(shí)符。

啟用 LSA 保護(hù)時(shí)引入的限制

如果啟用了其它 LSA 保護(hù)，則無(wú)法調(diào)試自定義 LSA 插件。當(dāng)調(diào)試器是受保護(hù)的進(jìn)程時(shí)，無(wú)法將調(diào)試器附加到 LSASS。一般情況下，不支持調(diào)試正在運(yùn)行的受保護(hù)進(jìn)程。

自動(dòng)啟用

對(duì)于運(yùn)行 Windows 11、22H2 的客戶端設(shè)備，如果滿足以下條件，則默認(rèn)會(huì)啟用其它 LSA 保護(hù)：

• 設(shè)備是 Windows 11、22H2 (未從以前的版本) 升級(jí)的新安裝。

• 設(shè)備已加入企業(yè) (已加入 Active Directory 域、加入 Azure AD 域或加入混合 Azure AD 域) 。

• 設(shè)備能夠 (HVCI) 受虛擬機(jī)監(jiān)控程序保護(hù)的代碼完整性

在 Windows 11 上自動(dòng)啟用額外的 LSA 保護(hù)，22H2 不會(huì)為該功能設(shè)置 UEFI 變量。如果要設(shè)置 UEFI 變量，可以使用注冊(cè)表配置或策略。

IT之家的網(wǎng)友們，如果想保護(hù)您的憑據(jù)免受攻擊者的攻擊，您必須啟用本地安全機(jī)構(gòu)保護(hù)。在本文中，我們將通過(guò)三種不同的方式在您的計(jì)算機(jī)上啟用本地安全機(jī)構(gòu)保護(hù)：

• 通過(guò) Windows 安全中心方式

• 通過(guò)注冊(cè)表方式

• 使用本地組策略方式

通過(guò) Windows 安全中心方式啟用

1. 按下 Win 鍵打開(kāi)開(kāi)始菜單

2. 在搜索框中搜索“Windows 安全中心”（不需要完整輸入），然后點(diǎn)擊“Windows 安全中心”

3. 點(diǎn)擊左側(cè)導(dǎo)航面板中的“設(shè)備安全性”，點(diǎn)擊“內(nèi)核隔離”選項(xiàng)下的“內(nèi)核隔離詳細(xì)信息”

4. 在跳出的頁(yè)面中勾選打開(kāi)“本地安全機(jī)構(gòu)保護(hù)”

5. 在用戶賬戶控制彈窗中選擇“是”

6. 重啟電腦觀察是否生效

通過(guò)注冊(cè)表方式啟用

1. 按下 Win 鍵打開(kāi)開(kāi)始菜單

2. 在搜索框中搜索“regedit”（不需要完整輸入），然后點(diǎn)擊“注冊(cè)表編輯器”

3. 訪問(wèn)“計(jì)算機(jī) \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”路徑

4. 然后雙擊 RunAsPPL 這個(gè)值，將其修改為“1”。如果注冊(cè)表中沒(méi)有的話，那么右鍵“新建”-》“DWORD（32 位）值”，將其重命名為 RunAsPPL 即可

5. 重啟電腦

通過(guò)組策略方式：

1. 使用 Win 鍵 + R 鍵組合快捷方式，然后輸入 gpedit.msc，點(diǎn)擊確定。

2. 展開(kāi) 計(jì)算機(jī)配置-》管理模板-》系統(tǒng)，然后展開(kāi)本地安全機(jī)構(gòu)。

3. 打開(kāi) “將 LSASS 配置為作為受保護(hù)進(jìn)程運(yùn)行”選項(xiàng)

4.將策略設(shè)置為“已啟用”。

5.在 “選項(xiàng)”下，將“配置 LSA”設(shè)置為作為受保護(hù)的進(jìn)程運(yùn)行，以便：

“已啟用 UEFI 鎖定”，以便使用 UEFI 變量配置該功能。

“已啟用無(wú) UEFI 鎖定”以配置沒(méi)有 UEFI 變量的功能。

6. 重新啟動(dòng)計(jì)算機(jī)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。