Konfigurieren des hinzugefügten LSA-Schutzes

Dieser Artikel erläutert, wie Sie den hinzugefügten Schutz für den Prozess der lokalen Sicherheitsautorität (Local Security Authority, LSA) konfigurieren, um Codeeinschleusungen zu verhindern, die Anmeldeinformationen kompromittieren könnten.

Mithilfe der lokalen Sicherheitsautorität, die auch den LSASS-Prozess (Local Security Authority Subsystem Service, Subsystemdienst für die lokale Sicherheitsautorität) umfasst, werden Benutzer für die lokale Anmeldung und Remoteanmeldung überprüft und lokale Sicherheitsrichtlinien erzwungen. Ab Windows 8.1 und höher wird hinzugefügter Schutz für die LSA bereitgestellt, um das Lesen von Arbeitsspeicher und Codeeinschleusungen durch nicht geschützte Prozesse zu verhindern. Dieses Feature verbessert die Sicherheit für die Anmeldeinformationen, die von der lokalen Sicherheitsautorität gespeichert und verwaltet werden. Ein weiterer Schutz wird bei Verwendung der UEFI-Sperre und des sicheren Starts erreicht, da das Deaktivieren des Registrierungsschlüssels HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa keine Auswirkungen hat.

Anforderungen an den geschützten Prozess für Plug-Ins oder Treiber

Damit ein LSA-Plug-In oder -Treiber erfolgreich als geschützter Prozess geladen werden kann, muss er die folgenden Kriterien erfüllen:

Signaturüberprüfung

Der geschützte Modus erfordert, dass alle Plug-Ins, die in die LSA geladen werden, mit einer Microsoft-Signatur digital signiert sein müssen. Plug-Ins, die gar nicht oder nicht mit einer Microsoft-Signatur signiert sind, können in der LSA nicht geladen werden. Beispiele für Plug-Ins sind Smartcard-Treiber, kryptografische Plug-Ins und Kennwortfilter.

  • LSA-Plug-Ins, bei denen es sich um Treiber handelt, z. B. Smartcard-Treiber, müssen mithilfe der WHQL-Zertifizierung signiert werden. Weitere Informationen finden Sie unter WHQL-Releasesignatur.
  • LSA-Plug-Ins ohne WHQL-Zertifizierungsprozess müssen mithilfe des Dateisignierdiensts für LSA signiert werden.

Leitfaden zur Einhaltung des Microsoft Security Development Lifecycle (SDL)-Prozesses

  • Alle Plug-Ins müssen die Vorgaben des jeweiligen SDL-Prozessleitfadens erfüllen. Weitere Informationen finden Sie unter Microsoft Security Development Lifecycle (SDL) – Prozessleitfaden.
  • Auch wenn die Plug-Ins ordnungsgemäß mit einer Microsoft-Signatur signiert sind, kann eine Nichteinhaltung des SDL-Prozesses beim Laden eines Plug-Ins zu einem Fehler führen.

Verwenden Sie die folgende Liste, um die Aktivierung des LSA-Schutzes eingehend zu testen, bevor Sie das Feature allgemein bereitstellen:

  • Identifizieren Sie alle LSA-Plug-Ins und -Treiber, die Ihre Organisation verwendet. Schließen Sie nicht von Microsoft stammende Treiber oder Plug-Ins wie Smartcard-Treiber und kryptografische Plug-Ins sowie intern entwickelte Software ein, die verwendet wird, um Kennwortfilter oder Benachrichtigungen für Kennwortänderungen zu erzwingen.
  • Stellen Sie sicher, dass alle LSA-Plug-Ins digital mit einem Microsoft-Zertifikat signiert sind, damit beim Laden der Plug-Ins unter dem LSA-Schutz kein Fehler auftritt.
  • Stellen Sie sicher, dass alle ordnungsgemäß signierten Plug-Ins erfolgreich in die lokale Sicherheitsautorität geladen werden können und dass sie sich wie erwartet verhalten.
  • Verwenden Sie die Überwachungsprotokolle zum Identifizieren von LSA-Plug-Ins und -Treibern, die nicht als geschützter Prozess ausgeführt werden können.

Einschränkungen der Aktivierung des LSA-Schutzes

Wenn der hinzugefügte LSA-Schutz aktiviert ist, können Sie kein benutzerdefiniertes LSA-Plug-In debuggen. Es ist nicht möglich, einen Debugger an LSASS anzufügen, wenn es sich um einen geschützten Prozess handelt. Im Allgemeinen gibt es keine unterstützte Möglichkeit zum Debuggen eines laufenden geschützten Prozesses.

Überwachen von LSA-Plug-Ins und -Treibern, die nicht als geschützter Prozess geladen werden können

Bevor Sie den LSA-Schutz aktivieren, verwenden Sie den Überwachungsmodus, um LSA-Plug-Ins und -Treiber zu identifizieren, die im geschützten LSA-Modus nicht geladen werden können. Im Überwachungsmodus generiert das System Ereignisprotokolle, die alle Plug-Ins und Treiber identifizieren, die nicht unter LSA geladen werden können, wenn der LSA-Schutz aktiviert ist. Die Meldungen werden protokolliert, ohne die Plug-Ins oder Treiber tatsächlich zu blockieren.

Die in diesem Abschnitt beschriebenen Ereignisse sind in der Ereignisanzeige im Betriebsprotokoll enthalten unter Anwendungs- und Dienstprotokolle>Microsoft>Windows>CodeIntegrity. Diese Ereignisse können Ihnen helfen, LSA-Plug-Ins und -Treiber zu identifizieren, die aus Gründen der Signierung nicht geladen werden können. Zum Verwalten dieser Ereignisse können Sie das Befehlszeilentool wevtutil verwenden. Informationen zu diesem Befehl finden Sie unter Wevtutil.

Wichtig

Wenn Smart App Control auf einem Gerät aktiviert ist, werden keine Überwachungsereignisse generiert. Öffnen Sie zum Überprüfen oder Ändern des Aktivierungsstatus von Smart App Control die Anwendung „Windows-Sicherheit“, und navigieren Sie zur Seite App- & Browsersteuerung. Wählen Sie Smart App Control-Einstellungen aus, um den Aktivierungsstatus zu überprüfen, und ändern Sie die Konfiguration in Aus, wenn Sie versuchen, hinzugefügten LSA-Schutz zu überwachen.

Hinweis

Der Überwachungsmodus für hinzugefügten LSA-Schutz ist auf Geräten unter Windows 11, Version 22H2 und höher, standardmäßig aktiviert. Wenn Ihr Gerät diesen Build oder höher ausführt, sind keine weiteren Aktionen erforderlich, um den hinzugefügten LSA-Schutz zu überwachen.

Aktivieren des Überwachungsmodus für LSASS.exe auf einem einzelnen Computer

  1. Öffnen Sie den Registrierungseditor (RegEdit.exe), und navigieren Sie zum Registrierungsschlüssel unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
  2. Legen Sie den Wert des Registrierungsschlüssels auf AuditLevel=dword:00000008 fest.
  3. Starten Sie den Computer neu.

Analysieren Sie nach Durchführung dieser Schritte die Ergebnisse von Ereignis 3065 und Ereignis 3066. Suchen Sie in den Betriebsprotokollen der Ereignisanzeige unter Anwendungs- und Dienstprotokolle>Microsoft>Windows>CodeIntegrity nach diesen Ereignissen.

  • Ereignis 3065 zeichnet auf, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise LSASS.exe) einen Treiber zu laden versuchte, der die Sicherheitsanforderungen für Shared Sections nicht erfüllte. Aufgrund der derzeit festgelegten Systemrichtlinie wurde das Laden des Images jedoch zugelassen.
  • Ereignis 3066 zeichnet auf, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise LSASS.exe) einen Treiber zu laden versuchte, der die Anforderungen an die Microsoft-Signaturebene nicht erfüllte. Aufgrund der derzeit festgelegten Systemrichtlinie wurde das Laden des Images jedoch zugelassen.

Wenn ein Plug-In oder Treiber freigegebene Abschnitte enthält, wird Ereignis 3066 zusammen mit dem Ereignis 3065 protokolliert. Das Entfernen der Shared Sections sollte verhindern, dass beide Ereignisse eintreten, es sei denn, das Plug-In erfüllt die Anforderungen an die Microsoft-Signaturebene nicht.

Wichtig

Diese Betriebsereignisse werden nicht generiert, wenn auf einem System ein Kernel-Debugger angefügt und aktiviert ist.

Aktivieren des Überwachungsmodus für LSASS.exe auf mehreren Computern

Zum Aktivieren des Überwachungsmodus für mehrere Computer in einer Domäne können Sie die clientseitige Registrierungserweiterung für die Gruppenrichtlinie verwenden, um den LSASS.EXE-Registrierungswert auf Überwachungsebene bereitzustellen. Sie müssen den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe ändern.

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), indem Sie gpmc.msc im Dialogfeld „Ausführen“ eingeben oder die Gruppenrichtlinien-Verwaltungskonsole im Startmenü auswählen.
  2. Erstellen Sie ein neues Gruppenrichtlinienobjekt (Group Policy Object, GPO), das auf der Domänenebene verknüpft ist, oder mit der Organisationseinheit, die Ihre Computerkonten enthält. Oder wählen Sie ein bereits bereitgestelltes GPO aus.
  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und wählen Sie dann Bearbeiten aus, um den Gruppenrichtlinienverwaltungs-Editor zu öffnen.
  4. Erweitern Sie Computerkonfiguration>Einstellungen>Windows-Einstellungen.
  5. Klicken Sie mit der rechten Maustaste auf Registrierung, zeigen Sie auf Neu, und wählen Sie anschließend Registrierungselement aus. Das Dialogfeld Neue Registrierungseigenschaften wird angezeigt.
  6. Wählen Sie in der Liste Struktur die Option HKEY_LOCAL_MACHINE aus.
  7. Navigieren Sie in der Liste Schlüsselpfad zu SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
  8. Geben Sie im Feld Wertname den Text AuditLevel ein.
  9. Wählen Sie im Feld Werttyp die Option REG_DWORD aus.
  10. Geben Sie im Feld Wert den Wert 00000008 ein.
  11. Klicken Sie auf OK.

Hinweis

Damit das GPO wirksam wird, muss die GPO-Änderung auf alle Domänencontroller der Domäne repliziert werden.

Zum Abonnieren des hinzugefügten LSA-Schutzes auf mehreren Computern können Sie die clientseitige Registrierungserweiterung für die Gruppenrichtlinie verwenden, um HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa zu ändern. Anweisungen finden Sie unter Konfigurieren des hinzugefügten LSA-Anmeldeinformationsschutzes weiter unten in diesem Artikel.

Identifizieren von Plug-Ins und -Treibern, die LSASS.exe nicht laden kann

Wenn der LSA-Schutz aktiviert ist, werden vom System Ereignisprotokolle generiert, die alle Plug-Ins und Treiber identifizieren, die unter LSA nicht geladen werden können. Nachdem Sie den hinzugefügten LSA-Schutz abonniert haben, können Sie das Ereignisprotokoll verwenden, um LSA-Plug-Ins und -Treiber zu identifizieren, die im LSA-Schutzmodus nicht geladen werden konnten.

Überprüfen Sie die folgenden Ereignisse in der Ereignisanzeige Anwendungs- und Dienstprotokolle>Microsoft>Windows>CodeIntegrity>Betrieblich:

  • Ereignis 3033 zeichnet auf, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise LSASS.exe) einen Treiber zu laden versuchte, der die Anforderungen an die Microsoft-Signaturebene nicht erfüllte.
  • Ereignis 3063 zeichnet auf, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise LSASS.exe) einen Treiber zu laden versuchte, der die Sicherheitsanforderungen für Shared Sections nicht erfüllte.

Shared Sections sind in der Regel das Ergebnis von Programmiertechniken, bei denen Instanzdaten mit anderen Prozessen interagieren können, die den gleichen Sicherheitskontext verwenden, was zu Sicherheitslücken führen kann.

Aktivieren und Konfigurieren des hinzugefügten LSA-Anmeldeinformationsschutzes

Sie können den hinzugefügten LSA-Schutz für Geräte mit Windows 8.1 oder höher oder Windows Server 2012 R2 oder höher konfigurieren, indem Sie die Verfahren in diesem Abschnitt verwenden.

Geräte, die sicheren Start und UEFI verwenden

Wenn Sie den LSA-Schutz auf x86-basierten oder x64-basierten Geräten aktivieren, die den sicheren Start oder UEFI verwenden, können Sie eine UEFI-Variable in der UEFI-Firmware speichern, indem Sie einen Registrierungsschlüssel oder eine Richtlinie verwenden. Wenn LSASS mit der UEFI-Sperre aktiviert ist, wird er als geschützter Prozess ausgeführt, und diese Einstellung wird in einer UEFI-Variable in der Firmware gespeichert.

Wenn die Einstellung in der Firmware gespeichert ist, kann die UEFI-Variable nicht gelöscht oder so geändert werden, um zusätzlichen LSA-Schutz durch Änderung der Registrierung oder der Richtlinie zu konfigurieren. Die UEFI-Variable muss mithilfe der Anweisungen unter Entfernen der UEFI-Variable des LSA-Schutzes zurückgesetzt werden.

Wenn LSASS ohne UEFI-Sperre aktiviert ist, wird er als geschützter Prozess ausgeführt, und diese Einstellung wird nicht in einer UEFI-Variablen gespeichert. Diese Einstellung wird standardmäßig auf Geräten mit einer neuen Installation von Windows 11, Version 22H2 oder höher, angewendet.

Auf x86- oder x64-basierten Geräten, die UEFI nicht unterstützen oder bei denen der sichere Start deaktiviert ist, können Sie die Konfiguration für den LSA-Schutz nicht in der Firmware speichern. Bei diesen Geräten ist einzig das Vorhandensein des Registrierungsschlüssels ausschlaggebend. In diesem Szenario kann der LSA-Schutz per Remotezugriff auf das Gerät deaktiviert werden. Die Deaktivierung des LSA-Schutzes wird erst wirksam, wenn das Gerät neu gestartet wird.

Automatische Aktivierung

Für Clientgeräte unter Windows 11, Version 22H2 und höher, ist der hinzugefügte LSA-Schutz standardmäßig aktiviert, wenn die folgenden Kriterien erfüllt sind:

Die automatische Aktivierung des hinzugefügten LSA-Schutzes unter Windows 11, Version 22H2 und höher, legt keine UEFI-Variable für das Feature fest. Wenn Sie eine UEFI-Variable festlegen möchten, können Sie eine Registrierungskonfiguration oder eine Richtlinie verwenden.

Hinweis

Bei Geräten mit Windows RT 8.1 ist der hinzugefügte LSA-Schutz immer aktiviert und kann nicht deaktiviert werden.

Aktivieren des LSA-Schutzes auf einem einzelnen Computer

Sie können den LSA-Schutz auf einem einzelnen Computer mithilfe der Registrierung oder der lokalen Gruppenrichtlinie aktivieren.

Aktivieren mithilfe der Registrierung

  1. Öffnen Sie den Registrierungseditor RegEdit.exe, und navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  2. Legen Sie den Wert des Registrierungsschlüssels fest auf:
    • "RunAsPPL"=dword:00000001, um das Feature mit einer UEFI-Variable zu konfigurieren.
    • "RunAsPPL"=dword:00000002, um das Feature ohne UEFI-Variable zu konfigurieren, nur unter Windows 11, Build 22H2 und höher, erzwungen.
  3. Starten Sie den Computer neu.

Aktivieren mithilfe der lokalen Gruppenrichtlinie unter Windows 11, Version 22H2 und höher

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien, indem Sie gpedit.msc eingeben.
  2. Erweitern Sie Computerkonfiguration>Administrative Vorlagen>System>Lokale Sicherheitsautorität.
  3. Öffnen Sie die Richtlinie LSASS für die Ausführung als geschützter Prozess konfigurieren.
  4. Legen Sie die Richtlinie auf Aktiviert fest.
  5. Wählen Sie unter Optionen eine der folgenden Optionen aus.
    • Aktiviert mit UEFI-Sperre, um das Feature mit einer UEFI-Variable zu konfigurieren.
    • Aktiviert ohne UEFI-Sperre, um das Feature ohne UEFI-Variable zu konfigurieren.
  6. Klicken Sie auf OK.
  7. Starten Sie den Computer neu.

Aktivieren des LSA-Schutzes mithilfe der Gruppenrichtlinie

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, indem Sie gpmc.msc im Dialogfeld „Ausführen“ eingeben oder im Startmenü die Gruppenrichtlinien-Verwaltungskonsole auswählen.
  2. Erstellen Sie ein neues GPO, das auf der Domänenebene verknüpft ist, oder mit der Organisationseinheit, die Ihre Computerkonten enthält. Oder wählen Sie ein bereits bereitgestelltes GPO aus.
  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und wählen Sie dann Bearbeiten aus, um den Gruppenrichtlinienverwaltungs-Editor zu öffnen.
  4. Erweitern Sie Computerkonfiguration>Einstellungen>Windows-Einstellungen.
  5. Klicken Sie mit der rechten Maustaste auf Registrierung, zeigen Sie auf Neu, und wählen Sie anschließend Registrierungselement aus. Das Dialogfeld Neue Registrierungseigenschaften wird angezeigt.
  6. Wählen Sie in der Liste Struktur die Option HKEY_LOCAL_MACHINE aus.
  7. Navigieren Sie in der Liste Schlüsselpfad zu SYSTEM\CurrentControlSet\Control\Lsa.
  8. Geben Sie im Feld Wertname Folgendes ein: RunAsPPL.
  9. Wählen Sie im Feld Werttyp die Option REG_DWORD aus.
  10. Geben Sie im Feld Wert Folgendes ein:
    • 00000001, um den LSA-Schutz mit einer UEFI-Variablen zu aktivieren.
    • 00000002, um den LSA-Schutz ohne UEFI-Variable zu aktivieren, wird nur für Windows 11, Version 22H2 und höher, erzwungen.
  11. Klicken Sie auf OK.

Aktivieren des LSA-Schutzes durch Erstellen eines benutzerdefinierten Gerätekonfigurationsprofils

Für Geräte mit Windows 11, Version 22H2 und höher, können Sie den LSA-Schutz aktivieren und konfigurieren, indem Sie ein benutzerdefiniertes Gerätekonfigurationsprofil im Microsoft Intune Admin Center erstellen.

  1. Navigieren Sie im Intune Admin Center zu Geräte>Windows>Konfigurationsprofile, und wählen Sie Profil erstellen aus.
  2. Wählen Sie auf dem Bildschirm Profil erstellen die folgenden Optionen aus:
    • Plattform: Windows 10 und höher
    • Profiltyp: Wählen Sie Vorlagen und dann Benutzerdefiniert aus.
  3. Klicken Sie auf Erstellen.
  4. Geben Sie auf dem Bildschirm Grundlagen einen Namen und optional eine Beschreibung für das Profil ein, und wählen Sie dann Weiter aus.
  5. Wählen Sie auf dem Bildschirm Konfigurationseinstellungen die Option Hinzufügen aus.
  6. Geben Sie auf dem Bildschirm Zeile hinzufügen die folgenden Informationen an:
    • Name: Geben Sie einen Namen für die OMA-URI-Einstellung an.
    • OMA-URI: Geben Sie ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess ein.
    • Datentyp: Wählen Sie Integer aus.
    • Wert: Geben Sie 1 ein, um LSASS so zu konfigurieren, dass er als geschützter Prozess mit UEFI-Sperre ausgeführt wird, oder 2, um LSASS so zu konfigurieren, dass er als geschützter Prozess ohne UEFI-Sperre ausgeführt wird.
  7. Wählen Sie Speichern, und wählen Sie dann Weiter.
  8. Konfigurieren Sie auf der Seite Aufgaben die Aufgaben, und wählen Sie dann Weiter aus.
  9. Konfigurieren Sie auf der Seite Anwendbarkeitsregeln alle Anwendbarkeitsregeln, und wählen Sie dann Weiter aus.
  10. Überprüfen Sie auf der Seite Überprüfen + Erstellen die Konfiguration, und wählen Sie dann Erstellenaus.
  11. Starten Sie den Computer neu.

Weitere Informationen zu diesem Policy-CSP finden Sie unter LocalSecurityAuthority – ConfigureLsaProtectedProcess.

Deaktivieren des LSA-Schutzes

Sie können den LSA-Schutz mithilfe der Registrierung oder mithilfe der lokalen Gruppenrichtlinie deaktivieren. Wenn das Gerät den sicheren Start verwendet und Sie die UEFI-Variable für den LSA-Schutz in der Firmware festgelegt haben, können Sie ein Tool verwenden, um die UEFI-Variable zu entfernen.

Deaktivieren mithilfe der Registrierung

  1. Öffnen Sie den Registrierungseditor RegEdit.exe, und navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  2. Legen Sie den Wert des Registrierungsschlüssels auf "RunAsPPL"=dword:00000000 fest, oder löschen Sie das DWORD.
  3. Wenn PPL mit einer UEFI-Variablen aktiviert wurde, verwenden Sie das Tool zum Deaktivieren des geschützten LSA-Prozesses (Local Security Authority Protected Process Opt-out), um die UEFI-Variable zu entfernen.
  4. Starten Sie den Computer neu.

Deaktivieren mithilfe der lokalen Richtlinie unter Windows 11, Version 22H2 und höher

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien, indem Sie gpedit.msc eingeben.
  2. Erweitern Sie Computerkonfiguration>Administrative Vorlagen>System>Lokale Sicherheitsautorität.
  3. Öffnen Sie die Richtlinie LSASS für die Ausführung als geschützter Prozess konfigurieren.
  4. Legen Sie die Richtlinie auf Aktiviert fest.
  5. Wählen Sie unter Optionen die Option Deaktiviert aus.
  6. Klicken Sie auf OK.
  7. Starten Sie den Computer neu.

Hinweis

Wenn Sie diese Richtlinie auf Nicht konfiguriert festlegen und die Richtlinie zuvor aktiviert war, wird die vorherige Einstellung nicht bereinigt und weiterhin erzwungen. Sie müssen die Richtlinie unter der Dropdownliste Optionen auf Deaktiviert festlegen, um das Feature zu deaktivieren.

Entfernen der UEFI-Variable für den LSA-Schutz

Sie können das Tool zum Deaktivieren des geschützten Prozesses der lokalen Sicherheitsautorität (Local Security Authority, LSA) (LSAPPLConfig) aus dem Microsoft Download Center verwenden, um die UEFI-Variable zu löschen, wenn das Gerät den sicheren Start verwendet.

Hinweis

Das Download Center bietet zwei Dateien namens LsaPplConfig.efi. Die kleinere Datei ist für x86-basierte Systeme und die größere Datei für x64-basierte Systeme.

Weitere Informationen zum Verwalten von "Sicherer Start" finden Sie unter UEFI-Firmware.

Achtung

Wenn %%amp;quot;Sicherer Start%%amp;quot; deaktiviert ist, werden alle auf %%amp;quot;Sicherer Start%%amp;quot; und UEFI bezogenen Konfigurationen zurückgesetzt. Sie sollten %%amp;quot;Sicherer Start%%amp;quot; nur deaktivieren, wenn alle anderen Mittel zum Deaktivieren des LSA-Schutzes nicht zum Erfolg führen.

Überprüfen des LSA-Schutzes

Um festzustellen, ob LSA beim Starten von Windows im geschützten Modus gestartet wurde, überprüfen Sie Windows-Protokolle>System in der Ereignisanzeige auf das folgende WinInit-Ereignis:

  • 12: LSASS.exe wurde als geschützter Prozess mit Ebene 4 gestartet

LSA und Credential Guard

Der LSA-Schutz ist ein Sicherheitsfeature, das vertrauliche Informationen wie z. B. Anmeldeinformationen vor Diebstahl schützt, indem nicht vertrauenswürdige LSA-Codeeinschleusungen und das Dumping des Prozessarbeitsspeichers blockiert werden. Der LSA-Schutz wird im Hintergrund ausgeführt, indem der LSA-Prozess in einem Container isoliert wird, und andere Prozesse, z. B. böswillige Akteure oder Apps, daran gehindert werden, auf das Feature zugreifen. Diese Isolation macht den LSA-Schutz zu einem wichtigen Sicherheitsfeature, weshalb er in Windows 11 standardmäßig aktiviert ist.

Ab Windows 10 trägt Credential Guard auch dazu bei, den Diebstahl von Anmeldeinformationen zu verhindern, indem NTLM-Kennworthashes, Kerberos-Ticket-Granting-Tickets (TGTs) und Anmeldeinformationen geschützt werden, die von Anwendungen als Domänenanmeldeinformationen gespeichert werden. Kerberos, NTLM und Anmeldeinformationsmanager isolieren Geheimnisse mithilfe der virtualisierungsbasierten Sicherheit (VBS).

Mit aktiviertem Credential Guard kommuniziert der LSA-Prozess mit einer Komponente, die als isolierter LSA-Prozess oder LSAIso.exe bezeichnet wird, die Geheimnisse speichert und schützt. Die vom isolierten LSA-Prozess gespeicherten Daten werden mithilfe von VBS geschützt und sind für den Rest des Betriebssystems nicht zugänglich. Die LSA verwendet Remoteprozeduraufrufe, um mit dem isolierten LSA-Prozess zu kommunizieren.

Ab Windows 11, Version 22H2, sind VBS und Credential Guard standardmäßig auf allen Geräten aktiviert, welche die Systemanforderungen erfüllen. Credential Guard wird nur auf 64-Bit-Geräten mit sicherem Start unterstützt. LSA-Schutz und Credential Guard ergänzen sich, und Systeme, die Credential Guard unterstützen oder es standardmäßig aktiviert haben, können auch den LSA-Schutz aktivieren und davon profitieren. Weitere Informationen zu Credential Guard finden Sie in der Credential Guard-Übersicht.

Weitere Ressourcen