IT之家 12 月 24 日消息,本地安全機(jī)構(gòu)(LSA)保護(hù)是 Windows 系統(tǒng)中驗(yàn)證用戶身份的重要一環(huán)。LSA 管理著微軟賬號和 Azure 相關(guān)的密碼和令牌等必要的系統(tǒng)憑證。
什么是本地安全機(jī)構(gòu)(LSA)?
本地安全機(jī)構(gòu)是 Windows 操作系統(tǒng)中安全子系統(tǒng)的核心組件。本地安全機(jī)構(gòu) (LSA) 負(fù)責(zé)管理系統(tǒng)的交互式登錄。
當(dāng)用戶嘗試在登錄對話框(也就是開機(jī)進(jìn)入的登錄界面)中輸入用戶名和密碼本地登錄到系統(tǒng)之后,系統(tǒng)會自動調(diào)用 LSA,將我們輸入的憑據(jù)傳遞給安全帳戶管理器(SAM)。在 SAM 中存儲了相關(guān)的管理存儲的帳戶信息。
如果通過的話,LSA 授予用戶一個訪問令牌(Access Token),其中包含用戶的個人和組 SID 及其權(quán)限。用戶執(zhí)行的每一個進(jìn)程都有一個訪問令牌的副本。令牌標(biāo)識了用戶身份、用戶所屬組、用戶特權(quán)。令牌還標(biāo)識當(dāng)前登錄會話的登錄 SID 安全標(biāo)識符。
啟用 LSA 保護(hù)時引入的限制
如果啟用了其它 LSA 保護(hù),則無法調(diào)試自定義 LSA 插件。當(dāng)調(diào)試器是受保護(hù)的進(jìn)程時,無法將調(diào)試器附加到 LSASS。一般情況下,不支持調(diào)試正在運(yùn)行的受保護(hù)進(jìn)程。
自動啟用
對于運(yùn)行 Windows 11、22H2 的客戶端設(shè)備,如果滿足以下條件,則默認(rèn)會啟用其它 LSA 保護(hù):
設(shè)備是 Windows 11、22H2 (未從以前的版本) 升級的新安裝。
設(shè)備已加入企業(yè) (已加入 Active Directory 域、加入 Azure AD 域或加入混合 Azure AD 域) 。
設(shè)備能夠 (HVCI) 受虛擬機(jī)監(jiān)控程序保護(hù)的代碼完整性
在 Windows 11 上自動啟用額外的 LSA 保護(hù),22H2 不會為該功能設(shè)置 UEFI 變量。如果要設(shè)置 UEFI 變量,可以使用注冊表配置或策略。
IT之家的網(wǎng)友們,如果想保護(hù)您的憑據(jù)免受攻擊者的攻擊,您必須啟用本地安全機(jī)構(gòu)保護(hù)。在本文中,我們將通過三種不同的方式在您的計(jì)算機(jī)上啟用本地安全機(jī)構(gòu)保護(hù):
通過 Windows 安全中心方式
通過注冊表方式
使用本地組策略方式
1. 按下 Win 鍵打開開始菜單
2. 在搜索框中搜索“Windows 安全中心”(不需要完整輸入),然后點(diǎn)擊“Windows 安全中心”
3. 點(diǎn)擊左側(cè)導(dǎo)航面板中的“設(shè)備安全性”,點(diǎn)擊“內(nèi)核隔離”選項(xiàng)下的“內(nèi)核隔離詳細(xì)信息”
4. 在跳出的頁面中勾選打開“本地安全機(jī)構(gòu)保護(hù)”
5. 在用戶賬戶控制彈窗中選擇“是”
6. 重啟電腦觀察是否生效
1. 按下 Win 鍵打開開始菜單
2. 在搜索框中搜索“regedit”(不需要完整輸入),然后點(diǎn)擊“注冊表編輯器”
3. 訪問“計(jì)算機(jī) \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”路徑
4. 然后雙擊 RunAsPPL 這個值,將其修改為“1”。如果注冊表中沒有的話,那么右鍵“新建”-》“DWORD(32 位)值”,將其重命名為 RunAsPPL 即可
5. 重啟電腦
1. 使用 Win 鍵 + R 鍵組合快捷方式,然后輸入 gpedit.msc,點(diǎn)擊確定。
2. 展開 計(jì)算機(jī)配置-》管理模板-》系統(tǒng),然后展開本地安全機(jī)構(gòu)。
3. 打開 “將 LSASS 配置為作為受保護(hù)進(jìn)程運(yùn)行”選項(xiàng)
4.將策略設(shè)置為“已啟用”。
5.在 “選項(xiàng)”下,將“配置 LSA”設(shè)置為作為受保護(hù)的進(jìn)程運(yùn)行,以便:
“已啟用 UEFI 鎖定”,以便使用 UEFI 變量配置該功能。
“已啟用無 UEFI 鎖定”以配置沒有 UEFI 變量的功能。
6. 重新啟動計(jì)算機(jī)。
Windows 終端通常不允許管理員選項(xiàng)卡與其他非提升選項(xiàng)卡同時打開。但是使用第三方工具,這是可能的!以下是如何在 Windows 終端中以管理員身份啟動 PowerShell。
Windows 終端如何處理管理權(quán)限
以管理員身份運(yùn)行 PowerShell (也稱為提升的 PowerShell)允許您運(yùn)行命令和訪問通常受限制的文件。受限制的命令和文件往往對操作系統(tǒng)的運(yùn)行和安全至關(guān)重要,它們需要特殊的管理權(quán)限才能運(yùn)行、移動、修改或刪除。
出于安全原因,Windows 終端不允許您打開混合權(quán)限的 PowerShell 選項(xiàng)卡。很難將打開的選項(xiàng)卡彼此完全隔離——實(shí)際上,這意味著在非提升的 PowerShell 選項(xiàng)卡中運(yùn)行的東西可能會通過提升的 PowerShell 選項(xiàng)卡升級其權(quán)限,從而使您的 PC 暴露在外。開發(fā)人員決定最好完全避免這種風(fēng)險(xiǎn)——盡管很小。
如何在 Windows 終端中以管理員身份啟動 PowerShell
由于 Windows 終端本身不允許混合權(quán)限選項(xiàng)卡,因此只有一種方法可以在 Windows 終端中以管理員身份運(yùn)行 PowerShell — 以管理員身份運(yùn)行 Windows 終端。當(dāng) Windows 終端以管理員身份運(yùn)行時,所有打開的新選項(xiàng)卡也將以管理員身份運(yùn)行。
要以管理員身份運(yùn)行 Windows 終端,請單擊開始,在搜索欄中鍵入“終端”,然后單擊 V 形(看起來像沒有尾巴的箭頭)以展開選項(xiàng)列表。
在展開的列表中單擊“以管理員身份運(yùn)行”。
提示:您也可以在搜索后右鍵單擊 Windows 終端快捷方式,然后選擇“以管理員身份運(yùn)行”。
如何使用第三方工具在 Windows 終端中以管理員身份啟動 PowerShell
出于安全原因,Windows 終端不支持混合提升和非提升的 PowerShell 選項(xiàng)卡。如果您仍然想這樣做,您可以使用一個名為 gsudo 的小型開源程序來啟用它。
警告: Microsot 的開發(fā)人員選擇不包含此功能是有原因的。它被一再要求和拒絕。請注意,在同一窗口中混合提升和非提升命令行環(huán)境確實(shí)會給您的安全帶來輕微風(fēng)險(xiǎn)。
Gsudo 是通過命令行使用winget安裝的。啟動 PowerShell,輸入,然后按 Enter。