Table of contents
TOC
Tartalomjegyzék összecsukása
Tartalomjegyzék kibontása

Kiegészítő LSA-védelem konfigurálása

Corey Plett|Utoljára frissítve:: 2016. 12. 06.
|
1 Közreműködő

Vonatkozik: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Ez az informatikai szakembereknek szóló témakör bemutatja, hogyan lehet kiegészítő védelmet beállítani a Helyi biztonsági szervezet (LSA) nevű folyamathoz, hogy meg lehessen akadályozni a hitelesítő adatok biztonságát veszélyeztető kódok bejuttatását.

A Helyi biztonsági szervezet szolgáltatás (LSASS) nevű folyamatot is magában foglaló LSA végzi a felhasználók helyi és távoli bejelentkezéseinek érvényesítését, és a helyi biztonsági házirendek betartatásáért is felel. A Windows 8.1 operációs rendszer az olvasási memória akadályozható meg, és nem védett folyamatok befecskendező kód LSA további védelmet nyújt. Ezzel biztonságosabbá tehetők az LSA által tárolt és kezelt hitelesítő adatok. A védett folyamat beállítása LSA konfigurálhatók a Windows 8.1-ben, de nem lehet beállítani a Windows RT 8.1-ben. Ha biztonságos rendszerindítással együtt használják ezt a beállítást, fokozottabb védelem érhető el, mivel a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa beállításkulcs letiltása hatástalan.

Beépülő modulokkal és illesztőprogramokkal szemben támasztott követelmények védett folyamatként való futtatás esetén

Az LSA-alapú beépülő modulok és illesztőprogramok csak akkor töltődhetnek be védett folyamatként, ha megfelelnek a következő feltételeknek:

  1. Aláírás-ellenőrzés

    A védett mód megköveteli, hogy az LSA-ba betöltött összes beépülő modul rendelkezzen a Microsoft digitális aláírásával. Emiatt az aláírás nélküli vagy nem a Microsoft aláírásával ellátott beépülő modulok nem töltődnek be az LSA-ba. Ilyen beépülő modulok például az intelligenskártya-illesztők, a titkosítási beépülő modulok és a jelszószűrők.

    Az illesztőprogramként működő, LSA-alapú beépülő modulokat (például az intelligenskártya-illesztőket) WHQL-es hitelesítési eljárással kell aláírni. További információ: WHQL kiadás vírusdefiníció (a Windows-illesztőprogramok).

    LSA beépülő moduljait, amely nem rendelkezik a WHQL minősítési folyamat használatával kell jelentkeznie a LSA szolgáltatások bejelentkezéssel fájl.

  2. Útmutató a Microsoft Biztonsági fejlesztési életciklus (SDL) nevű folyamat megfelelő használatához

    A beépülő modulok mindegyikének meg kell felelnie a vonatkozó SDL-folyamathoz kiadott útmutatásnak. További információ: a a Microsoft Security fejlesztői életciklusa (SDL) függelék.

    Még a Microsoft aláírásával megfelelően aláírt beépülő modulok esetén is lehetséges, hogy nem felelnek meg az SDL-folyamat előírásainak, ezért nem tölthetők be.

Ajánlott eljárások

Az alábbi felsorolás alapján még a funkció széles körű bevezetése előtt alaposan ellenőrizni kell, hogy engedélyezve van-e az LSA-alapú védelem:

  • Azonosítsa az összes olyan LSA-alapú beépülő modult és illesztőprogramot, amely használatban van az adott munkahelyen vagy intézményben. Ebbe a körbe tartoznak a nem a Microsoft által készített illesztőprogramok és beépülő modulok (köztük az intelligenskártya-illesztők és a titkosítási beépülő modulok), valamint minden olyan belső fejlesztésű szoftver, amelynek célja a jelszószűrők használatának kikényszerítése vagy a jelszócseréről szóló értesítések kiküldése.

  • Győződjön meg arról, hogy minden LSA-alapú beépülő modul rendelkezik a Microsoft digitális aláíró tanúsítványával, hogy a beépülő modul betöltése ne hiúsuljon meg aláírás hiányában.

  • Győződjön meg arról, hogy a helyesen aláírt beépülő modulok sikeresen betöltődnek az LSA-ba, és hogy a várt módon működnek.

  • A felügyeleti naplók felhasználásával azonosítsa azokat az LSA-alapú beépülő modulokat és illesztőprogramokat, amelyek nem indulnak el védett folyamatként.

Védett folyamatként nem futtatható, LSA-alapú beépülő modulok és illesztőprogramok azonosítása

Az ebben a szakaszban ismertetett események a műveleti napló Alkalmazás- és szolgáltatásnaplók\Microsoft\Windows\CodeIntegrity csomópontjában találhatók. Ezekkel az eseményekkel azonosítani lehet azokat az LSA-alapú beépülő modulokat és illesztőprogramokat, amelyek aláírási hiba miatt nem töltődnek be. Ezen események kezeléséhez a wevtutil parancssori eszközt használhatja. Az eszközről a Wevtutil című témakörben olvashat bővebben.

A választó előtt: beépülő moduljait és az lsass.exe betöltött illesztőprogramok megállapítása

A vizsgálati üzemmód használatával azonosíthatja azokat az LSA-alapú beépülő modulokat és illesztőprogramokat, amelyek nem fognak tudni betöltődni LSA-védelmi módban. Amíg aktív ez az üzemmód, a rendszer eseménynaplókat hoz létre, így azonosítva az összes olyan beépülő modult és illesztőprogramot, amely nem töltődik be az LSA-ba abban az esetben, ha engedélyezve van az LSA-védelem. Az üzenetek naplózása a beépülő modulok és az illesztőprogramok blokkolása nélkül történik.

Az Lsass.exe vizsgálati üzemmódjának adott számítógépen való engedélyezése a beállításjegyzék szerkesztésével
  1. Nyissa meg a Beállításszerkesztőt (RegEdit.exe), és keresse meg a beállításkulcsot, hogy a következő helyen található: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image fájl végrehajtás Options\LSASS.exe.

  2. Állítsa a kulcsot AuditLevel=dword:00000008 értékre.

  3. Indítsa újra a számítógépet.

Vizsgálja meg a 3065-ös és a 3066-os esemény eredményét.

  • Esemény 3065: Ebben az esetben rögzíti, hogy a kódsértetlenségi ellenőrzése megállapította, hogy a folyamat (általában lsass.exe) próbált, amely nem felel meg a biztonsági követelményeket is oszthatók meg az adott illesztőprogram betöltése. a beállított rendszerházirend miatt azonban engedélyezve volt a lemezkép betöltése.

  • Esemény 3066: Ebben az esetben rögzíti, hogy a kódsértetlenségi ellenőrzése megállapította, hogy a folyamat (általában lsass.exe) próbált töltse be egy adott illesztőprogramot, amely nem felel meg a Microsoft bejelentkezéssel szintű követelményeket. a beállított rendszerházirend miatt azonban engedélyezve volt a lemezkép betöltése.

Fontos

Ezek a műveleti események nem jönnek létre olyankor, ha kernel-hibakereső van csatlakoztatva és engedélyezve a rendszerben.

Ha egy beépülő modul vagy illesztőprogram megosztott szakaszokat tartalmaz, a 3065-ös eseménnyel együtt egy 3066-os esemény is bekerül a naplóba. A megosztott szakaszok eltávolítása általában megakadályozza mindkét esemény bekövetkezését, kivéve azt az esetet, ha a beépülő modul nem felel meg a Microsoft aláírásszint-követelményeinek.

Ha egyazon tartomány több számítógépén szeretné engedélyezni a vizsgálati üzemmódot, a csoportházirend ügyféloldali beállításjegyzék-bővítményével tudja beállítani az Lsass.exe vizsgálati szintű beállításazonosítóját. Ehhez módosítania kell a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe beállításkulcsot.

Az AuditLevel beállítás létrehozása csoportházirend-objektumban
  1. Nyissa meg a Csoportházirend-kezelő konzolt.

  2. Hozzon létre egy olyan csoportházirend-objektumot, amely a tartomány szintjéhez vagy a megfelelő számítógépfiókokat tároló szervezeti egységhez kapcsolódik. Megteheti azt is, hogy a már létrehozott csoportházirend-objektumok közül választ egyet.

  3. Kattintson a jobb gombbal a csoportházirend-objektumra, és a Szerkesztés parancsot választva nyissa meg a Csoportházirendkezelés-szerkesztőt.

  4. Bontsa ki a Számítógép konfigurációja > Beállítások > A Windows beállításai csomópontot.

  5. Kattintson a jobb gombbal a Beállításjegyzék elemre, mutasson az Új pontra, és kattintson a Beállításjegyzék-elem parancsra. Megjelenik az Új beállításjegyzék tulajdonságai párbeszédpanel.

  6. A a küldi listában, kattintson a HKEY_LOCAL_MACHINE.

  7. A Kulcs elérési útja listában keresse meg a következőt: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  8. Írja be az Azonosítónév mezőbe az AuditLevel értéket.

  9. Kattintson az Azonosító típusa mező REG_DWORD értékére.

  10. Írja be az Azonosító értéke mezőbe a 00000008 értéket.

  11. Kattintson az OK gombra.

Megjegyzés

A csoportházirend-objektum érvénybe léptetéséhez replikálni kell a módosítását a tartomány összes tartományvezérlőjére.

Ha több számítógépen kíván fokozottabb LSA-védelmet engedélyezni, használja a csoportházirend ügyféloldali beállításjegyzék-bővítményét a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA beállításkulcs módosításával. Ennek lépeseit a témakör További LSA-védelem konfigurálása a hitelesítő adatokhoz című részében találja.

Miután a választó: beépülő moduljait és az lsass.exe betöltött illesztőprogramok megállapítása

Az eseménynapló használatával azonosíthatja azokat az LSA-alapú beépülő modulokat és illesztőprogramokat, amelyek nem tudtak betöltődni LSA-védelmi módban. Az LSA által védett folyamat engedélyezésekor a rendszer eseménynaplókat hoz létre, amelyek azonosítják az LSA-ba be nem tölthető beépülő modulokat és illesztőprogramokat.

Vizsgálja meg a 3033-as és a 3063-as esemény eredményét.

  • Esemény 3033: Ebben az esetben rögzíti, hogy a kódsértetlenségi ellenőrzése megállapította, hogy a folyamat (általában lsass.exe) próbált, amely nem felel meg a Microsoft követelményeknek bejelentkezéssel illesztőprogram betöltése.

  • Esemény 3063: Ebben az esetben rögzíti, hogy a kódsértetlenségi ellenőrzése megállapította, hogy a folyamat (általában lsass.exe) próbált, amely nem felel meg a megosztott is biztonsági követelményei illesztőprogram betöltése.

Megosztott szakaszok általában olyan programozási módszerek eredményeképpen jönnek létre, amelyek lehetővé teszik, hogy a példány adatai egyéb, ugyanazt a biztonsági környezetet használó folyamatokkal is kapcsolatban legyenek. Ez biztonsági réseket eredményezhet.

Kiegészítő LSA-védelem konfigurálása hitelesítő adatokhoz

A Windows 8.1 (az vagy biztonságos rendszerindítási vagy UEFI nélkül) operációs rendszert futtató eszközökön konfigurációs lehetőség az ebben a szakaszban ismertetett eljárások végrehajtásával. A Windows RT 8.1 rendszerű eszközök lsass.exe védelem mindig engedélyezett, és nem kapcsolható ki.

Biztonságos rendszerindítást és UEFI-t használó, illetve nem használó x86-os és x64-es eszközökön

Azokon az x86-os és x64-es eszközökön, amelyek biztonságos rendszerindítást és UEFI-t használnak, az LSA-védelem beállításkulccsal történő engedélyezésekor a rendszer egy UEFI-változót állít be az UEFI belső vezérlőprogramjában. Ha a beállítás a belső vezérlőprogramba íródott, az UEFI-változó nem törölhető és nem módosítható a beállításkulcsban. Ilyen esetben alaphelyzetbe kell állítani az UEFI-változót.

Azok az x86-os és x64-es eszközök, amelyek nem támogatják az UEFI-t, illetve amelyeken le van tiltva a biztonságos rendszerindítás, nem tudják a belső vezérlőprogramban tárolni az LSA-védelmi konfigurációt, ezért kizárólag a beállításkulcs meglétére hagyatkoznak. Ilyen esetben az eszközhöz való távoli hozzáféréssel tiltható le az LSA-védelem.

Az LSA-védelem engedélyezéséhez és letiltásához a következő eljárások használhatók:

LSA-védelem engedélyezése egyetlen számítógépen
  1. Nyissa meg a Beállításszerkesztőt (RegEdit.exe), és keresse meg a beállításkulcsot, hogy a következő helyen található: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  2. Állítsa be a beállításkulcs értékének: "RunAsPPL" = dword: 00000001.

  3. Indítsa újra a számítógépet.

LSA-védelem engedélyezése csoportházirend használatával
  1. Nyissa meg a Csoportházirend-kezelő konzolt.

  2. Hozzon létre egy olyan csoportházirend-objektumot, amely a tartomány szintjéhez vagy a megfelelő számítógépfiókokat tároló szervezeti egységhez kapcsolódik. Megteheti azt is, hogy a már létrehozott csoportházirend-objektumok közül választ egyet.

  3. Kattintson a jobb gombbal a csoportházirend-objektumra, és a Szerkesztés parancsot választva nyissa meg a Csoportházirendkezelés-szerkesztőt.

  4. Bontsa ki a Számítógép konfigurációja > Beállítások > A Windows beállításai csomópontot.

  5. Kattintson a jobb gombbal a Beállításjegyzék elemre, mutasson az Új pontra, és kattintson a Beállításjegyzék-elem parancsra. Megjelenik az Új beállításjegyzék tulajdonságai párbeszédpanel.

  6. A Struktúra listában kattintson a következőre: HKEY_LOCAL_MACHINE.

  7. A a kulcs elérési listában, jelölje ki a SYSTEM\CurrentControlSet\Control\Lsa.

  8. Írja be az Azonosítónév mezőbe a RunAsPPL értéket.

  9. Kattintson az Azonosító típusa mező REG_DWORD értékére.

  10. Írja be az Azonosító értéke mezőbe a 00000001 értéket.

  11. Kattintson az OK gombra.

LSA-védelem letiltása
  1. Nyissa meg a Beállításszerkesztőt (RegEdit.exe), és keresse meg a beállításkulcsot, hogy a következő helyen található: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  2. A következő érték törlése a beállításkulcsból: "RunAsPPL" = dword: 00000001.

  3. Ha biztonságos rendszerindítást használ az eszköz, az UEFI-változó törléséhez használja a Helyi biztonsági szervezet (LSA) nevű védett folyamat letiltására szolgáló eszközt.

    A kívülmaradásra-ki az eszközről további információ: le helyi biztonsági szervezet (LSA) védett folyamat Kívülmaradásra-ki a hivatalos Microsoft Download Center.

    Biztonságos rendszerindítási kezelésével kapcsolatos további tudnivalókért lásd: UEFI belső.

    Figyelmeztetés

    A biztonságos rendszerindítás kikapcsolásakor az UEFI-vel és a biztonságos rendszerindítással kapcsolatos összes konfiguráció alaphelyzetbe áll. Csak akkor kapcsolja ki a biztonságos rendszerindítást, ha az LSA-védelem letiltása semmilyen más módon nem sikerült.

Az LSA-védelem ellenőrzése

Annak megállapításához, hogy védett módban indult-e el az LSA a Windows indításakor, keresse meg az alábbi WinInit-eseményt a Windows-naplók csoportban található Rendszer naplóban:

  • 12: az egy szinttel védett folyamat elindítása LSASS.exe: 4

További források

A hitelesítő adatok védelme és felügyelete

Az LSA fájlaláíró szolgáltatása

© 2017 Microsoft