本地安全机构的保护是Windows系统中验证用户身份的重要组成部分LSA管理必要的系统凭据,如与Microsoft帐户和Azure相关的密码和令牌
当地的安全机构是什么。
本地安全组织是Windows操作系统安全子系统的核心组件本地安全机构负责管理系统的交互登录
当用户试图通过在登录对话框中输入用户名和密码来本地登录系统时,系统将自动调用LSA,并将我们输入的凭据传递给安全帐户管理器相关管理存储的帐户信息存储在SAM中
如果通过,LSA将授予用户一个访问令牌,其中包含用户的个人和组sid及其权限用户执行的每个进程都有一个访问令牌的副本令牌标识用户的身份,用户所属的组以及用户的特权该令牌还标识当前登录会话的登录SID安全标识符
启用LSA保护时引入的限制
如果启用了其他LSA保护,则无法调试自定义LSA插件当调试器是受保护的进程时,无法将其附加到LSASS通常,不支持调试正在运行的受保护进程
自动激活
对于运行Windows 11和22H2的客户端设备,如果满足以下条件,默认情况下将启用其他LSA保护:
是Windows 11和22H2升级的新安装。
设备已加入企业。
可以由虚拟机管理程序保护的设备的代码完整性
Windows 11上自动启用额外的LSA保护,22H2不会为此功能设置UEFI变量如果要设置UEFI变量,可以使用注册表配置或策略
本站的朋友们,如果你想保护你的凭证免受攻击者的攻击,你必须启用本地安全机构的保护。在本文中,我们将以三种不同的方式在您的计算机上启用本地安全机构保护:
使用Windows安全中心
通过注册的方式
使用本地组策略模式。
通过Windows安全中心启用。
1.按Win键打开开始菜单。
2.在搜索框中搜索Windows安全中心,然后单击Windows安全中心
3.单击左侧导航面板中的设备安全性和内核隔离选项下的内核隔离详细信息
4.勾选弹出的页面打开当地安全机构保护
5.在用户帐户控制弹出窗口中选择是。
6.重启电脑看看是否生效。
通过注册表启用。
1.按Win键打开开始菜单。
3.访问计算机 HKEY本地机器 系统 当前控制设置 控制 LSA路径
4.然后双击RunAsPPL的值,将其更改为1如果它不存在于注册表中,右键单击新建—DWORD值并将其重命名为RunAsPPL
5.重新启动计算机
通过组策略:
1.使用Win+R键组合快捷键,然后输入gpedit.msc,点击确定。
2.展开计算机配置—管理模板—系统,然后展开本地安全机构。
3.打开选项配置LSASS作为受保护的进程运行
4.将策略设置为已启用。
5.在选项下,将配置LSA设置为作为受保护的进程运行,以便:
UEFI锁定启用使用UEFI变量配置此功能。
启用UEFI自由锁定以配置没有UEFI变量的功能。
6.重启电脑。
。
