Configurare l'aggiunta della protezione LSA

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Questo articolo illustra come configurare la protezione aggiunta per il processo LSA (Local Security Authority) per impedire l'inserimento di codice che potrebbe compromettere le credenziali.

LSA, che include il processo LSAS (Local Security Authority Server Service), convalida gli utenti per gli accessi locali e remoti e applica i criteri di sicurezza locali. A partire da Windows 8.1 e versioni successive, viene aggiunta la protezione per LSA per impedire la lettura della memoria e l'inserimento di codice da processi non protetti. Questa funzionalità offre una maggiore sicurezza per le credenziali archiviate e gestite da LSA. Quando si usa il blocco UEFI e l'avvio protetto, viene ottenuta ulteriore protezione, perché la disabilitazione della chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa non ha alcun effetto.

Requisiti dei processi protetti per plug-in o driver

Affinché un plug-in o un driver LSA venga caricato correttamente come processo protetto, deve soddisfare i criteri seguenti:

Verifica della firma

La modalità protetta richiede che qualsiasi plug-in caricato in LSA venga firmato digitalmente con una firma Microsoft. Tutti i plug-in non firmati o non firmati con una firma Microsoft non vengono caricati in LSA. Esempi di plug-in sono driver di smart card, plug-in crittografici e filtri password.

• I plug-in LSA che sono driver, ad esempio i driver di smart card, devono essere firmati tramite la certificazione WHQL. Per altre informazioni, vedere firma di rilascio WHQL.
• I plug-in LSA che non dispongono di un processo di certificazione WHQL devono essere firmati usando il servizio di firma file per LSA.

Conformità alle linee guida per il processo Microsoft Security Development Lifecycle (SDL)

• Tutti i plug-in devono essere conformi alle linee guida del processo SDL applicabili. Per altre informazioni, vedere Microsoft Security Development Lifecycle (SDL) - Linee guida sui processi.
• Anche se i plug-in sono firmati correttamente con una firma Microsoft, la mancata conformità con il processo SDL può causare un errore di caricamento di un plug-in.

Procedure consigliate

Usare l'elenco seguente per testare accuratamente l'abilitazione della protezione LSA prima di distribuire la funzionalità su larga scala:

• Identificare tutti i plug-in e i driver LSA usati dall'organizzazione. Includere driver o plug-in non Microsoft, ad esempio driver di smart card e plug-in crittografici, e qualsiasi software sviluppato internamente usato per applicare filtri password o notifiche di modifica delle password.
• Assicurarsi che tutti i plug-in LSA siano firmati digitalmente con un certificato Microsoft per evitare che non vengano caricati sotto la protezione LSA.
• Assicurarsi che tutti i plug-in firmati correttamente possano essere caricati correttamente in LSA e che eseguano come previsto.
• Usare i log di controllo per identificare i plug-in e i driver LSA che non vengono eseguiti come processo protetto.

Limitazioni dell'abilitazione della protezione LSA

Se è abilitata la protezione LSA aggiunta, non è possibile eseguire il debug di un plug-in LSA personalizzato. Non è possibile collegare un debugger a LSASS quando si tratta di un processo protetto. In generale, non è possibile eseguire il debug di un processo protetto in esecuzione.

Controllare i plug-in e i driver LSA che non verranno caricati come processo protetto

Prima di abilitare la protezione LSA, usare la modalità di controllo per identificare i plug-in e i driver LSA che non riusciranno a caricare in modalità protetta LSA. In modalità di controllo, il sistema genera registri eventi che identificano tutti i plug-in e i driver che non vengono caricati in LSA se la protezione LSA è abilitata. I messaggi vengono registrati senza bloccare effettivamente i plug-in o i driver.

Gli eventi descritti in questa sezione si trovano nel Visualizzatore Eventi nel registro operativo sotto Registri applicazioni e servizi>Microsoft>Windows>CodeIntegrity. Questi eventi consentono di identificare i plug-in e i driver LSA che non vengono caricati a causa di motivi di firma. Per gestire questi eventi, è possibile usare lo strumento da riga di comando wevtutil. Per informazioni su questo strumento, vedere Wevtutil.

Importante

Gli eventi di controllo non vengono generati se Controllo App Intelligente è abilitato su un dispositivo. Per controllare o modificare lo stato di abilitazione di Smart App Control, aprire l'applicazione di sicurezza di Windows e passare alla pagina controllo del browser app &. Selezionare impostazioni di Controllo app intelligente per controllare lo stato di abilitazione e modificare la configurazione in Disattivato se si sta tentando di verificare la protezione LSA aggiuntiva.

Nota

La modalità di controllo per la protezione LSA aggiunta è abilitata per impostazione predefinita nei dispositivi che eseguono Windows 11 versione 22H2 e successive. Se il dispositivo esegue questa compilazione o versione successiva, non sono necessarie altre azioni per controllare la protezione LSA aggiunta.

Abilitare la modalità di controllo per LSASS.exe in un singolo computer

1. Aprire l'editor del Registro di sistema (RegEdit.exe) e passare alla chiave del Registro di sistema in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
2. Impostare il valore della chiave del Registro di sistema su AuditLevel=dword:00000008.
3. Riavviare il computer.

Dopo aver eseguito questi passaggi, analizzare i risultati dell'evento 3065 e dell'evento 3066. Nel Visualizzatore eventi verificare la presenza di questi eventi nel log di operativo in Registri applicazioni e servizi>Microsoft>Windows>CodeIntegrity.

• Evento 3065 riporta che un controllo di integrità del codice ha determinato che un processo LSASS.exeha tentato di caricare un driver che non soddisfa i requisiti di sicurezza per le sezioni condivise. Tuttavia, a causa dei criteri di sistema attualmente impostati, l'immagine è stata autorizzata a caricare.
• evento 3066 riporta che un controllo dell'integrità del codice ha determinato che un processo, in genere LSASS.exe, ha tentato di caricare un driver che non ha soddisfatto i requisiti del livello di firma Microsoft. Tuttavia, a causa dei criteri di sistema attualmente impostati, l'immagine è stata autorizzata a caricare.

Se un plug-in o un driver contiene sezioni condivise, l'evento 3066 viene registrato con l'evento 3065. La rimozione delle sezioni condivise deve impedire che si verifichino entrambi gli eventi a meno che il plug-in non soddisfi i requisiti del livello di firma Microsoft.

Importante

Questi eventi operativi non vengono generati quando un debugger del kernel è collegato e abilitato in un sistema.

Abilitare la modalità di controllo per LSASS.exe su più computer

Per abilitare la modalità di controllo per più computer in un dominio, è possibile utilizzare l'estensione del Registro Client-Side per i Criteri di gruppo per distribuire il valore del Registro LSASS.exe relativo al livello di controllo. È necessario modificare la chiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

1. Aprire la Console Gestione Criteri di gruppo immettendo gpmc.msc nella finestra di dialogo Esegui o selezionando Console gestione Criteri di gruppo dal menu Start.
2. Creare un nuovo oggetto Criteri di gruppo (GPO) collegato a livello di dominio oppure collegato all'unità organizzativa che contiene gli account computer. In alternativa, selezionare un oggetto Criteri di gruppo già distribuito.
3. Fare clic con il pulsante destro del mouse sul GPO e quindi selezionare Modifica per aprire l'Editor Gestione Criteri di gruppo.
4. Espandi Configurazione del computer>Preferenze>Impostazioni di Windows.
5. Fare clic con il pulsante destro del mouse su Registro di sistema, scegliere Nuovoe quindi selezionare elemento del Registro di sistema. Viene visualizzata la finestra di dialogo Nuove proprietà del Registro di sistema.
6. Nell'elenco Hive selezionare HKEY_LOCAL_MACHINE.
7. Nell'elenco del Percorso chiave , passare a SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
8. Nella casella Nome valore digitare AuditLevel.
9. Nella casella Tipo valore selezionare REG_DWORD.
10. Nella casella Dati valore, digitare 00000008.
11. Seleziona OK.

Nota

Affinché l'oggetto Criteri di gruppo venga applicato, la modifica dell'oggetto Criteri di gruppo deve essere replicata in tutti i controller di dominio all'interno del dominio.

Per acconsentire esplicitamente all'aggiunta della protezione LSA in più computer, è possibile usare l'estensione del Registro di sistema Client-Side per Criteri di gruppo per modificare HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Per le istruzioni, vedi la sezione Configurare la protezione delle credenziali LSA aggiunte più avanti in questo articolo.

Identificare i plug-in e i driver che LSASS.exe non riesce a caricare

Quando la protezione LSA è abilitata, il sistema genera registri eventi che identificano tutti i plug-in e i driver che non vengono caricati in LSA. Dopo aver acconsentito esplicitamente all'aggiunta della protezione LSA, è possibile usare il registro eventi per identificare i plug-in e i driver LSA che non sono stati caricati in modalità protezione LSA.

Verificare la presenza degli eventi seguenti nel Visualizzatore eventi Registri applicazioni e servizi>Microsoft>Windows>CodeIntegrity>Operational:

• evento 3033 ha registrato che un controllo di integrità del codice ha determinato che un processo, in genere LSASS.exe, ha tentato di caricare un driver che non ha soddisfatto i requisiti di livello di firma Microsoft.
• evento 3063 rileva che un controllo di integrità del codice ha stabilito che un processo, di solito LSASS.exe, ha tentato di caricare un driver che non rispetta i requisiti di sicurezza per le sezioni condivise.

Le sezioni condivise sono in genere il risultato di tecniche di programmazione che consentono ai dati dell'istanza di interagire con altri processi che usano lo stesso contesto di sicurezza, che può creare vulnerabilità di sicurezza.

Abilitare e configurare la protezione delle credenziali LSA aggiunta

È possibile configurare la protezione LSA aggiunta per i dispositivi che eseguono Windows 8.1 o versione successiva o Windows Server 2012 R2 o versione successiva usando le procedure descritte in questa sezione.

Dispositivi che usano l'avvio protetto e UEFI

Quando si abilita la protezione LSA nei dispositivi basati su x86 o x64 che usano l'avvio protetto o UEFI, è possibile archiviare una variabile UEFI nel firmware UEFI usando una chiave o un criterio del Registro di sistema. Se abilitato con il blocco UEFI, LSASS viene eseguito come processo protetto e questa impostazione viene archiviata in una variabile UEFI nel firmware.

Quando l'impostazione viene archiviata nel firmware, la variabile UEFI non può essere eliminata o modificata per configurare la protezione LSA aggiunta modificando il Registro di sistema o per criterio. La variabile UEFI deve essere reimpostata usando le istruzioni riportate in Rimuovere la variabile UEFI di protezione LSA.

Se abilitato senza un blocco UEFI, LSASS viene eseguito come processo protetto e questa impostazione non viene archiviata in una variabile UEFI. Questa impostazione viene applicata per impostazione predefinita nei dispositivi con una nuova installazione di Windows 11 versione 22H2 o successiva.

Nei dispositivi basati su x86 o x64 che non supportano UEFI o in cui l'avvio protetto è disabilitato, non è possibile archiviare la configurazione per la protezione LSA nel firmware. Questi dispositivi si basano esclusivamente sulla presenza della chiave del Registro di sistema. In questo scenario è possibile disabilitare la protezione LSA usando l'accesso remoto al dispositivo. La disabilitazione della protezione LSA non ha effetto fino al riavvio del dispositivo.

Abilitazione automatica

Per i dispositivi client che eseguono Windows 11 versione 22H2 e successive, la protezione LSA aggiunta è abilitata per impostazione predefinita se vengono soddisfatti i criteri seguenti:

• Il dispositivo è una nuova installazione di Windows 11 versione 22H2 o successiva, non aggiornata da una versione precedente.
• Il dispositivo è associato all'azienda (unito al dominio di Active Directory, unito al dominio Microsoft Entra o unito a un dominio ibrido di Microsoft Entra).
• Il dispositivo è in grado di l'integrità del codice protetta da Hypervisor (HVCI).

L'abilitazione automatica della protezione LSA aggiunta in Windows 11 versione 22H2 e successive non imposta una variabile UEFI per la funzionalità. Se si vuole impostare una variabile UEFI, è possibile usare una configurazione o un criterio del Registro di sistema.

Nota

Per i dispositivi che eseguono Windows RT 8.1, la protezione LSA aggiunta è sempre abilitata e non può essere disattivata.

Abilitare la protezione LSA in un singolo computer

È possibile abilitare la protezione LSA in un singolo computer usando il Registro di sistema o i Criteri di gruppo locali.

Abilitare tramite il Registro di sistema

1. Aprire l'editor del Registro di sistema RegEdit.exee passare alla chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
2. Impostare il valore della chiave del Registro di sistema su:
   • "RunAsPPL"=dword:00000001 per configurare la funzionalità con una variabile UEFI.
   • "RunAsPPL"=dword:00000002 per configurare la funzionalità senza una variabile UEFI, applicata solo a Windows 11 build 22H2 e versioni successive.
3. Riavviare il computer.

Abilitare tramite Criteri di gruppo locali in Windows 11 versione 22H2 e successive

1. Aprire l'Editor Criteri di gruppo locali immettendo gpedit.msc.
2. Espandere Configurazione computer>Modelli amministrativi>Sistema>Autorità di sicurezza locale.
3. Aprire il criterio Configura LSASS per essere eseguito come processo protetto.
4. Impostare il criterio su Attivato.
5. In Opzioniselezionare una delle opzioni seguenti.
   • Abilitato con blocco UEFI per configurare la funzionalità con una variabile UEFI.
   • Abilitato senza blocco UEFI per configurare la funzionalità senza una variabile UEFI.
6. Seleziona OK.
7. Riavviare il computer.

Abilitare la protezione LSA tramite Criteri di gruppo

1. Aprire la Console di Gestione Criteri di Gruppo immettendo gpmc.msc nella finestra di dialogo Esegui o selezionando la Console di Gestione Criteri di Gruppo dal menu Start.
2. Creare un nuovo GPO collegato al livello di dominio o collegato all'unità organizzativa contenente gli account dei computer. In alternativa, selezionare un GPO già distribuito.
3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo (GPO) e quindi selezionare Modifica per aprire l'Editor Gestione Criteri di gruppo.
4. Espandi Configurazione computer>Preferenze>Impostazioni di Windows.
5. Fare clic con il pulsante destro del mouse su Registro di sistema, scegliere Nuovoe quindi selezionare elemento del Registro di sistema. La finestra di dialogo Nuove proprietà del Registro di sistema viene visualizzata.
6. Nell'elenco di Hive, selezionare HKEY_LOCAL_MACHINE.
7. Nell'elenco Percorso chiave, naviga fino a SYSTEM\CurrentControlSet\Control\Lsa.
8. Nella casella Nome del valore, digitare RunAsPPL.
9. Nella casella Tipo valore selezionare REG_DWORD.
10. Nella casella Dati valore digitare:
    • 00000001 abilitare la protezione LSA con una variabile UEFI.
    • 00000002 per abilitare la protezione LSA senza una variabile UEFI, applicata solo a Windows 11 versione 22H2 e successive.
11. Seleziona OK.

Abilitare la protezione LSA creando un profilo di configurazione del dispositivo personalizzato

Per i dispositivi che eseguono Windows 11 versione 22H2 e successive, è possibile abilitare e configurare la protezione LSA creando un profilo di configurazione del dispositivo personalizzato nell'interfaccia di amministrazione di Microsoft Intune .

1. Nell'interfaccia di amministrazione di Intune passare a Dispositivi >profili di configurazione di Windows> e selezionare Crea profilo.
2. Nella schermata Crea un profilo selezionare le opzioni seguenti:
   • Piattaforma: Windows 10 e versioni successive
   • Tipo di profilo: selezionare modelli e quindi selezionare personalizzato.
3. Fare clic su Crea.
4. Nella schermata Informazioni di base, immettere un nome e una Descrizione facoltativa per il profilo e quindi selezionare Avanti .
5. Nella schermata delle impostazioni di configurazione , selezionare Aggiungi.
6. Nella schermata Aggiungi riga, specificare le informazioni seguenti:
   • Nome: specificare un nome per l'impostazione di OMA-URI.
   • OMA-URI: immettere ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
   • Tipo di dati: selezionare Integer.
   • Valore: immettere 1 per configurare LSASS per l'esecuzione come processo protetto con blocco UEFI o 2 per configurare LSASS per l'esecuzione come processo protetto senza blocco UEFI.
7. Selezionare Salvae quindi selezionare Avanti.
8. Nella pagina Assegnazioni, configurare le assegnazioni e quindi selezionare Avanti.
9. Nella pagina regole di applicabilità, configurare le regole di applicabilità e quindi selezionare Avanti.
10. Nella pagina Rivedi e crea, verificare la configurazione e poi selezionare Crea.
11. Riavviare il computer.

Per ulteriori informazioni su questo Policy CSP, vedere LocalSecurityAuthority - ConfigureLsaProtectedProcess.

Disabilitare la protezione LSA

È possibile disabilitare la protezione LSA tramite il Registro di sistema o tramite Criteri di gruppo locali. Se il dispositivo usa l'avvio protetto e si imposta la variabile UEFI di protezione LSA nel firmware, è possibile usare uno strumento per rimuovere la variabile UEFI.

Disabilitare usando il Registro di sistema

1. Aprire l'editor del Registro di sistema, RegEdit.exee passare alla chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
2. Impostare il valore della chiave del Registro di sistema su "RunAsPPL"=dword:00000000o eliminare il DWORD.
3. Se PPL è stato abilitato con una variabile UEFI, utilizzare lo strumento di opt-out del processo protetto dell'Autorità di sicurezza locale per rimuovere la variabile UEFI.
4. Riavviare il computer.

Disabilitare utilizzando i criteri locali su Windows 11 versione 22H2 e versioni successive

1. Aprire l'Editor Criteri di gruppo locali immettendo gpedit.msc.
2. Espandere Configurazione computer>Modelli amministrativi>sistema>autorità di sicurezza locale.
3. Apri la politica Configura LSASS per essere eseguito come processo protetto.
4. Impostare il criterio su Attivato.
5. In Opzioni selezionare Disabilitato.
6. Seleziona OK.
7. Riavviare il computer.

Nota

Se si imposta questo criterio su Non configurato e i criteri sono stati abilitati in precedenza, l'impostazione precedente non viene pulita e continua a essere applicata. È necessario impostare il criterio su Disabilitato nell'elenco a discesa Opzioni per disabilitare la funzionalità.

Rimuovere la variabile UEFI di protezione LSA

È possibile usare lo strumento LSA (Local Security Authority) Protected Process Opt-out (LSAPPLConfig) dall'Area download Microsoft per eliminare la variabile UEFI se il dispositivo usa l'avvio protetto.

Nota

L'Area Download offre due file denominati LsaPplConfig.efi. Il file più piccolo è per i sistemi basati su x86 e il file più grande è per i sistemi basati su x64.

Per altre informazioni sulla gestione dell'avvio protetto, vedere firmware UEFI.

Attenzione

Quando l'avvio protetto è disattivato, vengono reimpostate tutte le configurazioni correlate a UEFI e avvio protetto. È consigliabile disattivare l'avvio protetto solo quando tutti gli altri mezzi per disabilitare la protezione LSA non sono riusciti.

Verificare la protezione LSA

Per determinare se LSA è stata avviata in modalità protetta all'avvio di Windows, controllare Registri di Windows> nel Visualizzatore Eventi per il seguente evento WinInit:

• 12: LSASS.exe è stato avviato come processo protetto con livello: 4

LSA e Credential Guard

La protezione LSA è una funzionalità di sicurezza che difende le informazioni sensibili, come le credenziali, dal furto, bloccando l'inserimento di codice LSA non attendibile e il dumping della memoria di processo. La protezione LSA viene eseguita in background isolando il processo LSA in un contenitore e impedendo ad altri processi, ad esempio utenti malintenzionati o app, di accedere alla funzionalità. Questo isolamento rende protezione LSA una funzionalità di sicurezza essenziale, motivo per cui è abilitata per impostazione predefinita in Windows 11.

A partire da Windows 10, Credential Guard consente anche di evitare attacchi di furto di credenziali proteggendo gli hash delle password NTLM, i ticket kerberos granting tickets (TGT) e le credenziali archiviate dalle applicazioni come credenziali di dominio. Kerberos, NTLM e Gestione credenziali isolano i segreti usando la sicurezza basata su virtualizzazione.Kerberos, NTLM e Credential Manager isolate secrets by using virtualization-based security (VBS).

Con Credential Guard abilitato, il processo LSA comunica con un componente denominato processo LSA isolato o LSAIso.exe, che archivia e protegge i segreti. I dati archiviati dal processo LSA isolato sono protetti tramite VBS e non sono accessibili al resto del sistema operativo. LSA utilizza chiamate di procedura remota per comunicare con il processo LSA isolato.

A partire da Windows 11 versione 22H2, vbs e Credential Guard sono abilitati per impostazione predefinita in tutti i dispositivi che soddisfano i requisiti di sistema. Credential Guard è supportato solo nei dispositivi di avvio protetto a 64 bit. La protezione LSA e Credential Guard sono complementari e i sistemi che supportano Credential Guard o che lo hanno abilitato per impostazione predefinita possono anche abilitare e trarre vantaggio dalla protezione LSA. Per ulteriori informazioni su Credential Guard, vedere la panoramica di Credential Guard .

Altre risorse

• protezione e gestione delle credenziali
• Partner Center per Windows Hardware