本地安全机构(LSA)保护是Windows系统中对用户进行身份验证的重要部分。LSA管理必要的系统凭据,例如与Microsoft帐户和Azure相关的密码和令牌。什么是地方安全局(LSA)?本地安全机构是Windows操作系统中安全子系统的核心组成部分。本地安全机构(LSA)负责管理系统的交互式登录。当用户试图通过在登录对话框(即开机进入的登录界面)中输入用户名和密码在本地登录系统时,系统会自动调用LSA将我们输入的凭据传递给Security客户经理(SAM)。与管理存储相关的帐户信息存储在SAM中。如果通过,LSA将授予用户一个访问令牌,其中包含用户的个人和组SID及其权限。用户执行的每个进程都有访问令牌的副本。令牌标识用户的身份、用户所属的组和用户的权限。该令牌还标识当前登录会话的登录SID安全标识符。启用LSA保护时引入的限制如果启用了其他LSA保护,则无法调试自定义LSA插件。当调试器是受保护的进程时,无法将调试器附加到LSASS。通常,不支持调试正在运行的受保护进程。自动启用对于运行Windows11、22H2的客户端设备,如果满足以下条件,则默认启用额外的LSA保护:设备是新安装的Windows11、22H2(未从以前的版本升级)。设备已加入企业(已加入ActiveDirectory域、已加入AzureAD域或已加入混合AzureAD域)。Devicecapable(HVCI)Hypervisor-ProtectedCodeIntegrity自动在Windows11上启用额外的LSA保护,22H2不会为此功能设置UEFI变量。如果要设置UEFI变量,可以使用注册表配置或策略。IT之家的朋友们,如果你想保护你的凭据免受攻击者的攻击,你必须启用本地安全机构保护。在本文中,我们将通过三种不同的方式在您的计算机上启用本地安全机构保护:通过Windows安全中心通过注册表使用本地组策略通过Windows安全中心1.按Win键打开“开始”菜单2.搜索搜索框里的“Windows安全中心”(不需要全输入),然后点击“Windows安全中心”3.点击左侧导航面板中的“设备安全”,点击“内核隔离”选项下的4.勾选在弹出的页面中打开“本地安全机构保护”。5.在用户账户控制弹出窗口中选择“是”。6、重启电脑看看是否生效。通过注册表启用它。1.按Win键打开开始菜单2.在搜索框中搜索“regedit”(不需要全输入),然后点击“注册表编辑器”3.进入“Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\控制\Lsa"路径4。然后双击RunAsPPL的值并将其更改为“1”。如果它不在注册表中,则右键单击“新建”->“DWORD(32位)值”并将其重命名为RunAsPPL。mode,然后输入gpedit.msc,点击OK。2.展开计算机配置-》管理模板-》系统,然后展开本地安全权限。3.打开“将LSASS配置为受保护的进程运行”选项4.将策略设置为“已启用”。5.在“选项”下,将“配置LSA”设置为作为受保护进程运行,以便:“启用UEFI锁定”以使用UEFI变量配置该功能。“未启用UEFI锁定”以在没有UEFI变体的情况下配置该功能。6.重新启动计算机。
