IT之家 12 月 24 日消息����,本地安全機構(LSA)保護是 Windows 系統中驗證用戶身份的重要一環��。LSA 管理著微軟賬號和 Azure 相關的密碼和令牌等必要的系統憑證�����。
什么是本地安全機構(LSA)?
本地安全機構是 Windows 操作系統中安全子系統的核心組件。本地安全機構 (LSA) 負責管理系統的交互式登錄�。
當用戶嘗試在登錄對話框(也就是開機進入的登錄界面)中輸入用戶名和密碼本地登錄到系統之后�,系統會自動調用 LSA���,將我們輸入的憑據傳遞給安全帳戶管理器(SAM)��。在 SAM 中存儲了相關的管理存儲的帳戶信息�����。
如果通過的話,LSA 授予用戶一個訪問令牌(Access Token)�,其中包含用戶的個人和組 SID 及其權限�����。用戶執行的每一個進程都有一個訪問令牌的副本。令牌標識了用戶身份、用戶所屬組、用戶特權���。令牌還標識當前登錄會話的登錄 SID 安全標識符�����。
啟用 LSA 保護時引入的限制
如果啟用了其它 LSA 保護�,則無法調試自定義 LSA 插件。當調試器是受保護的進程時,無法將調試器附加到 LSASS�。一般情況下�,不支持調試正在運行的受保護進程��。
自動啟用
對于運行 Windows 11�、22H2 的客戶端設備���,如果滿足以下條件��,則默認會啟用其它 LSA 保護:
設備是 Windows 11�、22H2 (未從以前的版本) 升級的新安裝�����。
設備已加入企業 (已加入 Active Directory 域���、加入 Azure AD 域或加入混合 Azure AD 域) ����。
設備能夠 (HVCI) 受虛擬機監控程序保護的代碼完整性
在 Windows 11 上自動啟用額外的 LSA 保護���,22H2 不會為該功能設置 UEFI 變量���。如果要設置 UEFI 變量���,可以使用注冊表配置或策略��。
IT之家的網友們���,如果想保護您的憑據免受攻擊者的攻擊,您必須啟用本地安全機構保護�。在本文中����,我們將通過三種不同的方式在您的計算機上啟用本地安全機構保護:
通過 Windows 安全中心方式
通過注冊表方式
使用本地組策略方式
通過 Windows 安全中心方式啟用
1. 按下 Win 鍵打開開始菜單
2. 在搜索框中搜索“Windows 安全中心”(不需要完整輸入)��,然后點擊“Windows 安全中心”
3. 點擊左側導航面板中的“設備安全性”����,點擊“內核隔離”選項下的“內核隔離詳細信息”
4. 在跳出的頁面中勾選打開“本地安全機構保護”
5. 在用戶賬戶控制彈窗中選擇“是”
6. 重啟電腦觀察是否生效
通過注冊表方式啟用
1. 按下 Win 鍵打開開始菜單
2. 在搜索框中搜索“regedit”(不需要完整輸入)�,然后點擊“注冊表編輯器”
3. 訪問“計算機 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”路徑
4. 然后雙擊 RunAsPPL 這個值,將其修改為“1”�����。如果注冊表中沒有的話�,那么右鍵“新建”-》“DWORD(32 位)值”,將其重命名為 RunAsPPL 即可
5. 重啟電腦
通過組策略方式:
1. 使用 Win 鍵 + R 鍵組合快捷方式���,然后輸入 gpedit.msc,點擊確定��。
2. 展開 計算機配置-》管理模板-》系統��,然后展開本地安全機構����。
3. 打開 “將 LSASS 配置為作為受保護進程運行”選項
4.將策略設置為“已啟用”�����。
5.在 “選項”下����,將“配置 LSA”設置為作為受保護的進程運行�����,以便:
“已啟用 UEFI 鎖定”�����,以便使用 UEFI 變量配置該功能。
“已啟用無 UEFI 鎖定”以配置沒有 UEFI 變量的功能���。
6. 重新啟動計算機。
Windows 終端通常不允許管理員選項卡與其他非提升選項卡同時打開���。但是使用第三方工具,這是可能的��!以下是如何在 Windows 終端中以管理員身份啟動 PowerShell�����。
Windows 終端如何處理管理權限
以管理員身份運行 PowerShell (也稱為提升的 PowerShell)允許您運行命令和訪問通常受限制的文件�����。受限制的命令和文件往往對操作系統的運行和安全至關重要,它們需要特殊的管理權限才能運行���、移動、修改或刪除����。
出于安全原因��,Windows 終端不允許您打開混合權限的 PowerShell 選項卡。很難將打開的選項卡彼此完全隔離——實際上��,這意味著在非提升的 PowerShell 選項卡中運行的東西可能會通過提升的 PowerShell 選項卡升級其權限�,從而使您的 PC 暴露在外�����。開發人員決定最好完全避免這種風險——盡管很小���。
如何在 Windows 終端中以管理員身份啟動 PowerShell
由于 Windows 終端本身不允許混合權限選項卡�����,因此只有一種方法可以在 Windows 終端中以管理員身份運行 PowerShell — 以管理員身份運行 Windows 終端。當 Windows 終端以管理員身份運行時���,所有打開的新選項卡也將以管理員身份運行。
要以管理員身份運行 Windows 終端,請單擊開始�����,在搜索欄中鍵入“終端”����,然后單擊 V 形(看起來像沒有尾巴的箭頭)以展開選項列表。
在展開的列表中單擊“以管理員身份運行”。
提示:您也可以在搜索后右鍵單擊 Windows 終端快捷方式,然后選擇“以管理員身份運行”。
如何使用第三方工具在 Windows 終端中以管理員身份啟動 PowerShell
出于安全原因����,Windows 終端不支持混合提升和非提升的 PowerShell 選項卡��。如果您仍然想這樣做,您可以使用一個名為 gsudo 的小型開源程序來啟用它。
警告: Microsot 的開發人員選擇不包含此功能是有原因的。它被一再要求和拒絕����。請注意����,在同一窗口中混合提升和非提升命令行環境確實會給您的安全帶來輕微風險����。
Gsudo 是通過命令行使用winget安裝的�。啟動 PowerShell,輸入,然后按 Enter���。
