Toegevoegde LSA-beveiliging configureren

In dit artikel wordt uitgelegd hoe u toegevoegde beveiliging configureert voor het LSA-proces (Local Security Authority) om code-injectie te voorkomen die inbreuk kan maken op referenties.

De LSA, die het LSASS-proces (Local Security Authority Server Service) omvat, valideert gebruikers voor lokale en externe aanmeldingen en dwingt lokaal beveiligingsbeleid af. In Windows 8.1 en hoger wordt beveiliging voor de LSA toegevoegd om te voorkomen dat niet-beveiligde processen geheugen lezen en code injecteren. Deze functie biedt extra beveiliging voor de referenties die LSA opslaat en beheert. U kunt verdere beveiliging bereiken wanneer u UEFI-vergrendeling (Unified Extensible Firmware Interface) en Beveiligd opstarten gebruikt. Wanneer deze instellingen zijn ingeschakeld, heeft het uitschakelen van de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registersleutel geen effect.

Vereisten voor beveiligde processen voor invoegtoepassingen of stuurprogramma's

Voor een LSA-invoegtoepassing of -stuurprogramma om met succes te worden geladen als een beveiligd proces, moet deze voldoen aan de criteria in de volgende twee gedeeltes.

Handtekeningverificatie

Voor de beveiligde modus moet elke invoegtoepassing die in de LSA is geladen, digitaal worden ondertekend met een Microsoft-handtekening. Invoegtoepassingen die niet zijn ondertekend of die niet zijn ondertekend met een Microsoft-handtekening, kunnen niet worden geladen in LSA. Voorbeelden van invoegtoepassingen zijn smartcardstuurprogramma's, cryptografische invoegtoepassingen en wachtwoordfilters.

• LSA-invoegtoepassingen die stuurprogramma's zijn, zoals smartcardstuurprogramma's, moeten worden ondertekend met behulp van WHQL-certificering (Windows Hardware Quality Labs). Zie WHQL Release Signature voor meer informatie.
• LSA-invoegtoepassingen die geen WHQL-certificeringsproces hebben, moeten worden ondertekend met behulp van de service voor bestandsondertekening voor LSA.

Naleving van SDL-procesrichtlijnen (Microsoft Security Development Lifecycle)

• Alle invoegtoepassingen moeten voldoen aan de toepasselijke richtlijnen voor SDL-processen. Zie Microsoft Security Development Lifecycle (SDL) – Procesrichtlijnen voor meer informatie.
• Zelfs als de invoegtoepassingen correct zijn ondertekend met een Microsoft-handtekening, kan niet-naleving van het SDL-proces ertoe leiden dat een invoegtoepassing niet kan worden geladen.

Aanbevolen praktijken

Gebruik de volgende lijst om het inschakelen van LSA-beveiliging grondig te testen voordat u de functie breed implementeert:

• Identificeer alle LSA-invoegtoepassingen en -stuurprogramma's die uw organisatie gebruikt. Neem niet-Microsoft-stuurprogramma's of invoegtoepassingen op, zoals smartcardstuurprogramma's en cryptografische invoegtoepassingen, en intern ontwikkelde software die wordt gebruikt om wachtwoordfilters of meldingen voor wachtwoordwijziging af te dwingen.
• Zorg ervoor dat alle LSA-invoegtoepassingen digitaal zijn ondertekend met een Microsoft-certificaat, zodat ze niet falen om te laden onder LSA-beveiliging.
• Zorg ervoor dat alle correct ondertekende invoegtoepassingen in LSA kunnen worden geladen en dat ze functioneren zoals verwacht.
• Gebruik de auditlogboeken om LSA-invoegtoepassingen en stuurprogramma's te identificeren die niet als beveiligd proces kunnen worden uitgevoerd.

Beperkingen van het inschakelen van LSA-beveiliging

Als er LSA-beveiliging is toegevoegd, kunt u geen fouten opsporen in een aangepaste LSA-invoegtoepassing. U kunt een foutopsporingsprogramma niet koppelen aan LSASS wanneer het een beveiligd proces is. Over het algemeen is er geen ondersteunde manier om fouten op te sporen in een actief beveiligd proces.

Onderzoek uitvoeren naar LSA-invoegtoepassingen en -stuurprogramma's die niet als beveiligd proces worden geladen

Voordat u LSA-beveiliging inschakelt, gebruikt u de controlemodus om LSA-invoegtoepassingen en -stuurprogramma's te identificeren die niet kunnen worden geladen in de beveiligde LSA-modus. In de controlemodus genereert het systeem gebeurtenislogboeken die alle invoegtoepassingen en stuurprogramma's identificeren die niet worden geladen onder LSA als LSA-beveiliging is ingeschakeld. De berichten worden geregistreerd zonder de invoegtoepassingen of stuurprogramma's daadwerkelijk te blokkeren.

De gebeurtenissen die in deze sectie worden beschreven, worden vastgelegd in de Gebeurtenissenweergave in het operationele logboek onder Toepassingen en Services-logboeken>Microsoft>Windows>CodeIntegrity. Deze gebeurtenissen kunnen u helpen bij het identificeren van LSA-invoegtoepassingen en stuurprogramma's die niet kunnen worden geladen vanwege ondertekeningsredenen. Als u deze gebeurtenissen wilt beheren, kunt u de wevtutil opdrachtregelprogramma gebruiken. Zie Wevtutilvoor meer informatie over dit hulpprogramma.

Belangrijk

Controlegebeurtenissen worden niet gegenereerd als Smart App Control is ingeschakeld op een apparaat. Als u de status van Smart App Control wilt controleren of wijzigen, opent u de Windows-beveiligingstoepassing en gaat u naar de pagina app- en browserbeheer . Selecteer Instellingen voor Smart App Control om te controleren of Smart App Control is ingeschakeld. Als u de toegevoegde LSA-beveiliging wilt controleren, wijzigt u de configuratie in Uit.

Notitie

Controlemodus voor toegevoegde LSA-beveiliging is standaard ingeschakeld op apparaten met Windows 11 versie 22H2 en hoger. Als op uw apparaat deze build of hoger wordt uitgevoerd, zijn er geen andere acties nodig om de toegevoegde LSA-beveiliging te controleren.

Controlemodus inschakelen voor LSASS.exe op één computer

1. Open de Register-editor of voer RegEdit.exe in het dialoogvenster Uitvoeren in en ga vervolgens naar de registersleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe .
2. Open de waarde van AuditLevel. Stel het gegevenstype in op dword en de bijbehorende gegevenswaarde op 00000008.
3. Start de computer opnieuw op.

Nadat u deze stappen hebt uitgevoerd, zoekt u naar gebeurtenissen met de volgende id's: 3065 en 3066. Als u op deze gebeurtenissen wilt controleren, opent u Logboekenweergaveer en vouwt vervolgens Toepassingen en Services-logboeken>Microsoft>Windows>CodeIntegrity>Operationeel uit.

• Gebeurtenis 3065 treedt op wanneer een code-integriteitscontrole bepaalt dat een proces, meestal LSASS.exe, probeert een stuurprogramma te laden dat niet voldoet aan de beveiligingsvereisten voor gedeelde secties. Vanwege het huidige systeembeleid is het echter toegestaan dat de afbeelding wordt geladen.
• Gebeurtenis 3066 treedt op wanneer een code-integriteitscontrole bepaalt dat een proces, meestal LSASS.exe, probeert een stuurprogramma te laden dat niet voldoet aan de vereisten op microsoft-ondertekeningsniveau. Echter, vanwege het systeembeleid dat momenteel is ingesteld, mag de afbeelding worden geladen.

Als een invoegtoepassing of stuurprogramma gedeelde secties bevat, wordt gebeurtenis 3066 geregistreerd met gebeurtenis 3065. Als u de gedeelde secties verwijdert, zouden beide gebeurtenissen niet moeten optreden, tenzij de plug-in niet voldoet aan de vereisten voor het Microsoft-ondertekeningsniveau.

Belangrijk

Deze operationele gebeurtenissen worden niet gegenereerd wanneer een kernelfoutopsporingsprogramma is gekoppeld en ingeschakeld op een systeem.

Controlemodus inschakelen voor LSASS.exe op meerdere computers

Als u de controlemodus voor meerdere computers in een domein wilt inschakelen, kunt u de extensie aan de clientzijde van het register voor Groepsbeleid gebruiken om de registerwaarde op LSASS.exe auditniveau te implementeren. U moet de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe registersleutel wijzigen.

1. Open de console Groepsbeleidsbeheer door gpmc.msc in het dialoogvenster Uitvoeren in te voeren of groepsbeleidsbeheerconsole te selecteren in het menu Start .
2. Maak een nieuw groepsbeleidsobject (GPO) dat is gekoppeld op domeinniveau of gekoppeld aan de organisatie-eenheid die uw computeraccounts bevat. Selecteer een gpo dat al is geïmplementeerd.
3. Klik met de rechtermuisknop op het groepsbeleidsobject en selecteer Bewerken om de Groepsbeleidbeheer-editor te openen.
4. Vouw Computerconfiguratie>Voorkeuren>Windows-instellingenuit.
5. Klik met de rechtermuisknop op Register, wijs Nieuweaan en selecteer Registeritem. Het dialoogvenster Nieuwe registereigenschappen wordt weergegeven.
6. Selecteer of voer in het dialoogvenster Nieuwe registereigenschappen de volgende waarden in:
   • Voor Hive, selecteer HKEY_LOCAL_MACHINE.
   • Voor sleutelpad, selecteer SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
   • Voor waardenaam voert u AuditLevel in.
   • Voor waardetype, selecteer REG_DWORD.
   • Voer voor waardegegevens00000008 in.
7. Kies OK.

Notitie

Om het groepsbeleidsobject van kracht te laten worden, moet de wijziging van het groepsbeleidsobject worden gerepliceerd naar alle domeincontrollers in het domein.

Als u wilt kiezen voor extra LSA-beveiliging op meerdere computers, kunt u de extensie aan de clientzijde van het register voor groepsbeleid gebruiken om HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsate wijzigen. Zie De toegevoegde LSA-referentiebeveiliging inschakelen en configureren verderop in dit artikel voor instructies.

Invoegtoepassingen en stuurprogramma's identificeren die LSASS.exe niet kunnen laden

Wanneer LSA-beveiliging is ingeschakeld, genereert het systeem gebeurtenislogboeken die alle invoegtoepassingen en stuurprogramma's identificeren die niet kunnen worden geladen onder LSA. Nadat u zich hebt aangemeld voor de toegevoegde LSA-beveiliging, kunt u het gebeurtenislogboek gebruiken om LSA-invoegtoepassingen en stuurprogramma's te identificeren die niet kunnen worden geladen in de LSA-beveiligingsmodus.

Controleer de volgende gebeurtenissen in Logboekviewer door Toepassingen en serviceslogboeken>Microsoft>Windows>CodeIntegrity>Operationeel uit te vouwen:

• Gebeurtenis 3033 treedt op wanneer een code-integriteitscontrole bepaalt dat een proces, meestal LSASS.exe, probeert een stuurprogramma te laden dat niet voldoet aan de vereisten op microsoft-ondertekeningsniveau.
• Gebeurtenis 3063 treedt op wanneer een code-integriteitscontrole bepaalt dat een proces, meestal LSASS.exe, probeert een stuurprogramma te laden dat niet voldoet aan de beveiligingsvereisten voor gedeelde secties.

Gedeelde secties zijn doorgaans het gevolg van programmeertechnieken waarmee exemplaargegevens kunnen communiceren met andere processen die dezelfde beveiligingscontext gebruiken. Gedeelde secties kunnen beveiligingsproblemen maken.

Toegevoegde LSA-referentiesbeveiliging inschakelen en configureren

U kunt toegevoegde LSA-beveiliging configureren voor apparaten met Windows 8.1 of hoger of Windows Server 2012 R2 of hoger met behulp van de procedures in deze sectie.

Apparaten die beveiligd opstarten en UEFI gebruiken

Wanneer u LSA-beveiliging inschakelt op x86- of x64-apparaten die gebruikmaken van Beveiligd opstarten of UEFI, kunt u een UEFI-variabele opslaan in de UEFI-firmware met behulp van een registersleutel of beleid. Wanneer LSASS is ingeschakeld met UEFI-vergrendeling, wordt LSASS uitgevoerd als een beveiligd proces en wordt deze instelling opgeslagen in een UEFI-variabele in de firmware.

Wanneer de instelling is opgeslagen in de firmware, kan de UEFI-variabele niet worden verwijderd of gewijzigd om toegevoegde LSA-beveiliging te configureren door het register of beleid te wijzigen. De UEFI-variabele moet opnieuw worden ingesteld met behulp van de instructies in De UEFI-variabele LSA-beveiliging verwijderen.

Wanneer LSASS is ingeschakeld zonder een UEFI-vergrendeling, wordt LSASS uitgevoerd als beveiligd proces en wordt deze instelling niet opgeslagen in een UEFI-variabele. Deze instelling wordt standaard toegepast op apparaten met een nieuwe installatie van Windows 11 versie 22H2 of hoger.

Op x86- of x64-apparaten die geen ondersteuning bieden voor UEFI of waarvoor Beveiligd opstarten is uitgeschakeld, kunt u de configuratie voor LSA-beveiliging niet opslaan in de firmware. Deze apparaten zijn uitsluitend afhankelijk van de aanwezigheid van de registersleutel. In dit scenario is het mogelijk om LSA-beveiliging uit te schakelen met behulp van externe toegang tot het apparaat. Het uitschakelen van LSA-beveiliging wordt pas van kracht nadat het apparaat opnieuw is opgestart.

Automatische activering

Voor clientapparaten met Windows 11 versie 22H2 en hoger is de toegevoegde LSA-beveiliging standaard ingeschakeld als aan de volgende criteria wordt voldaan:

• Het apparaat is een nieuwe installatie van Windows 11 versie 22H2 of hoger, die niet is bijgewerkt vanaf een vorige versie.
• Het apparaat is verbonden bij de zakelijke omgeving (Active Directory-domein verbonden, Microsoft Entra-domein verbonden of hybride Microsoft Entra-domein verbonden).
• Het apparaat kan met hypervisor beveiligde code-integriteit (HVCI) gebruiken.

Automatische activering van toegevoegde LSA-beveiliging in Windows 11 versie 22H2 en hoger stelt geen UEFI-variabele in voor de functie. Als u een UEFI-variabele wilt instellen, kunt u een registerconfiguratie of -beleid gebruiken.

LSA-beveiliging op één computer inschakelen

U kunt LSA-beveiliging op één computer inschakelen met behulp van het register of met behulp van lokaal groepsbeleid.

Inschakelen met behulp van het register

1. Open de Register-editor of voer RegEdit.exe in het dialoogvenster Uitvoeren in en ga vervolgens naar de registersleutelHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
2. Open de RunAsPPL-waarde en bewerk de gegevens:
   • Als u de functie wilt configureren met een UEFI-variabele, gebruikt u een type dword en een gegevenswaarde van 00000001.
   • Als u de functie wilt configureren zonder een UEFI-variabele, gebruikt u een type dword en een gegevenswaarde van 00000002. Deze waarde wordt alleen afgedwongen op Windows 11 build 22H2 en hoger.
3. Start de computer opnieuw op.

Inschakelen met lokaal groepsbeleid in Windows 11 versie 22H2 en hoger

1. Open de editor voor lokaal groepsbeleid door gpedit.msc in het dialoogvenster Uitvoeren in te voeren.
2. Vouw Computerconfiguratie>Beheersjablonen>System>Local Security Authorityuit.
3. Open het beleid LSASS configureren om als een beveiligd proces te draaien.
4. Stel het beleid in op Ingeschakeld.
5. Selecteer onder Opties een van de volgende opties:
   • Als u de functie wilt configureren met een UEFI-variabele, selecteert u Ingeschakeld met UEFI-vergrendeling.
   • Als u de functie zonder een UEFI-variabele wilt configureren, selecteert u Ingeschakeld zonder UEFI-vergrendeling.
6. Kies OK.
7. Start de computer opnieuw op.

LSA-beveiliging inschakelen met groepsbeleid

1. Open de console Groepsbeleidsbeheer door gpmc.msc in het dialoogvenster Uitvoeren in te voeren of groepsbeleidsbeheerconsole te selecteren in het menu Start .
2. Maak een nieuw groepsbeleidsobject dat is gekoppeld op domeinniveau of gekoppeld aan de organisatie-eenheid die uw computeraccounts bevat. Of selecteer een GPO (groepsbeleidsobject) dat al is geïmplementeerd.
3. Klik met de rechtermuisknop op het groepsbeleidsobject en selecteer Bewerken om de Groepsbeleidbeheer-editor te openen.
4. Vouw Computerconfiguratie>Voorkeuren>Windows-instellingenuit.
5. Klik met de rechtermuisknop op Register, wijs Nieuweaan en selecteer Registeritem. Het dialoogvenster Nieuwe registereigenschappen wordt weergegeven.
6. Selecteer of voer in het dialoogvenster Nieuwe registereigenschappen de volgende waarden in:
   • Selecteer HKEY_LOCAL_MACHINE voorHive.
   • Selecteer VOOR SleutelpadSYSTEM\CurrentControlSet\Control\Lsa.
   • Voer RunAsPPL in als waardenaam.
   • Voor waardetype selecteer REG_DWORD.
   • Voer voor waardegegevens een van de volgende waarden in:
     • Als u LSA-beveiliging wilt inschakelen met een UEFI-variabele, voert u 00000001 in.
     • Als u LSA-beveiliging zonder een UEFI-variabele wilt inschakelen, voert u 00000002 in. Deze instelling wordt alleen afgedwongen in Windows 11 versie 22H2 en hoger.
7. Kies OK.

LSA-beveiliging inschakelen door een aangepast apparaatconfiguratieprofiel te maken

Voor apparaten met Windows 11 versie 22H2 en hoger kunt u de stappen in de volgende secties uitvoeren om LSA-beveiliging in te schakelen en te configureren. In deze procedure wordt gebruikgemaakt van het Microsoft Intune-beheercentrum om een aangepast apparaatconfiguratieprofiel te maken.

Een profiel maken

1. Ga in het Intune-beheercentrum naarWindows-configuratieprofielen> voor apparaten> en selecteer vervolgens Profiel maken.
2. Selecteer in het scherm Een profiel maken de volgende opties:
   • Selecteer onder Platformde optie Windows 10 en hoger.
   • Selecteer onder Profieltypesjablonen en selecteer vervolgens Aangepast.
3. Klik op Creëren.
4. Voer in het scherm Basisbeginselen een naam en een optionele beschrijving voor het profiel in en selecteer vervolgens Volgende.

Eerste configuratie-instellingen toevoegen

1. Selecteer op het scherm voor Configuratie-instellingen de optie Toevoegen.
2. Voer in het scherm Rij toevoegen de volgende gegevens in:
   • Voer bij Naam een naam in voor de instelling Open Mobile Alliance – Uniform Resource (OMA-URI).
   • Voer voor OMA-URI./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess in.
   • Voor gegevenstype selecteert u Geheel getal.
   • Voer voor Waarde een van de volgende waarden in:
     • Als u LSASS wilt configureren voor uitvoering als een beveiligd proces met UEFI-vergrendeling, voert u 1 in.
     • Als u LSASS wilt configureren voor uitvoering als een beveiligd proces zonder UEFI-vergrendeling, voert u 2 in.
3. Selecteer opslaan en selecteer vervolgens Volgende.

De configuratie van het profiel voltooien

1. Stel de opdrachten in op de pagina Toewijzingen en selecteer vervolgens Volgende.
2. Configureer op de pagina Toepasselijkheidsregels eventuele toepasselijkheidsregels en selecteer vervolgens Volgende.
3. Op de pagina Controleren + maken controleer je de configuratie en selecteer je vervolgens maken.
4. Start de computer opnieuw op.

Zie LocalSecurityAuthority - ConfigureLsaProtectedProcess voor meer informatie over deze CSP (Beleidsconfiguratieserviceprovider).

LSA-beveiliging uitschakelen

U kunt LSA-beveiliging uitschakelen met behulp van het register of met behulp van lokaal groepsbeleid. Als het apparaat beveiligd opstarten gebruikt en u de UEFI-variabele LSA-beveiliging instelt in de firmware, kunt u een hulpprogramma gebruiken om de UEFI-variabele te verwijderen.

Uitschakelen met behulp van het register

1. Open de Register-editor of voer RegEdit.exe in het dialoogvenster Uitvoeren in en ga vervolgens naar de registersleutelHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
2. Open de RunAsPPL-waarde en stel de gegevenswaarde in op 000000000. Of verwijder de waarde RunAsPPL.
3. Als de functie Protected Processes Light (PPL) is ingeschakeld met een UEFI-variabele, gebruikt u het opt-outprogramma voor het beveiligde proces van lokale beveiligingsinstantie om de UEFI-variabele te verwijderen.
4. Start de computer opnieuw op.

Uitschakelen met behulp van lokaal beleid in Windows 11 versie 22H2 en hoger

1. Open de editor voor lokaal groepsbeleid door gpedit.msc in het dialoogvenster Uitvoeren in te voeren.
2. Vouw Computerconfiguratie>Beheersjablonen>System>Local Security Authorityuit.
3. Open het beleid LSASS configureren om te worden uitgevoerd als een beveiligd proces.
4. Stel het beleid in op Ingeschakeld.
5. Bij Opties, selecteer Uitgeschakeld.
6. Kies OK.
7. Start de computer opnieuw op.

Notitie

Als u dit beleid instelt op Niet geconfigureerde en het beleid eerder is ingeschakeld, wordt de vorige instelling niet opgeschoond en wordt het afgedwongen. U moet het beleid instellen op Uitgeschakeld onder de Opties dropdown om de functie uit te schakelen.

De LSA-beveiligingsvariabele in UEFI verwijderen

U kunt het opt-outprogramma voor beveiligde processen (Local Security Authority) van het Microsoft Downloadcentrum gebruiken om de UEFI-variabele te verwijderen als het apparaat beveiligd opstarten gebruikt.

Notitie

Het Downloadcentrum biedt twee bestanden met de naam LsaPplConfig.efi. Het kleinere bestand is voor x86-systemen en het grotere bestand is voor x64-systemen.

Zie UEFI Firmwarevoor meer informatie over het beheren van Beveiligd opstarten.

Waarschuwing

Wanneer Beveiligd opstarten is uitgeschakeld, worden alle configuraties met betrekking tot Beveiligd opstarten en UEFI opnieuw ingesteld. Schakel Beveiligd opstarten alleen uit wanneer alle andere middelen om LSA-beveiliging uit te schakelen mislukken.

LSA-beveiliging controleren

Voer de volgende stappen uit om te bepalen of LSA wordt gestart in de beveiligde modus wanneer Windows wordt gestart:

1. Open Logboekviewer.
2. Vouw Windows-logboeken>Systeem uit.
3. Zoek naar de volgende WinInit-gebeurtenis : 12: LSASS.exe is gestart als beveiligd proces met niveau 4.

LSA (Lokale Beveiligingsautoriteit) en Credential Guard

LSA-beveiliging is een beveiligingsfunctie die gevoelige informatie verdedigt, zoals aanmeldgegevens, tegen diefstal en blokkeert niet-vertrouwde LSA-code-injectie en het dumpen van procesgeheugen. LSA-beveiliging wordt op de achtergrond uitgevoerd door het LSA-proces in een container te isoleren en te voorkomen dat andere processen, zoals kwaadwillende actoren of apps, toegang krijgen tot de functie. Dankzij deze isolatie is LSA-beveiliging een essentiële beveiligingsfunctie. Daarom is deze standaard ingeschakeld in Windows 11.

Vanaf Windows 10 helpt Credential Guard ook om diefstal van referenties te voorkomen door NTLM-wachtwoordhashes, Kerberos-tickets (TGT's) en referenties die zijn opgeslagen door toepassingen als domeinreferenties te beveiligen. Kerberos, NTLM en Credential Manager isoleren geheimen met behulp van beveiliging op basis van virtualisatie (VBS).

Wanneer Credential Guard is ingeschakeld, communiceert het LSA-proces met een onderdeel dat het geïsoleerde LSA-proces wordt genoemd, of LSAIso.exe, waarmee geheimen worden opgeslagen en beschermd. Gegevens die zijn opgeslagen door het geïsoleerde LSA-proces, worden beveiligd met behulp van VBS en zijn niet toegankelijk voor de rest van het besturingssysteem. LSA maakt gebruik van externe procedure-aanroepen om te communiceren met het geïsoleerde LSA-proces.

Vanaf Windows 11 versie 22H2 zijn VBS en Credential Guard standaard ingeschakeld op alle apparaten die voldoen aan de systeemvereisten. Credential Guard wordt alleen ondersteund op 64-bits beveiligde opstartapparaten. LSA-beveiliging en Credential Guard zijn complementair en systemen die Credential Guard ondersteunen of standaard inschakelen, kunnen ook LSA-beveiliging inschakelen en profiteren. Zie Credential Guard-overzichtvoor meer informatie over Credential Guard.

Meer middelen

• Beveiliging en beheer van referenties
• Partnercentrum voor Windows-hardware