使用注册表或本地组策略在单台计算机上启用 LSA 保护！

wzq123

本地安全机构 (LSA) ：我发帖时在 win11  27842 上

重要的

如果设备上启用了智能应用控制，则不会生成审核事件。要检查或更改智能应用控制的状态，请打开 Windows 安全应用程序，然后转到“应用和浏览器控制”页面。选择“智能应用控制设置”以检查智能应用控制是否已启用。如果要审核添加的 LSA 保护，请将配置更改为“关闭”。

使用安全启动和 UEFI 的设备

在使用安全启动或 UEFI 的基于 x86 或 x64 的设备上启用 LSA 保护时，可以使用注册表项或策略将 UEFI 变量存储在 UEFI 固件中。使用 UEFI 锁启用后，LSASS 将作为受保护的进程运行，并且此设置存储在固件中的 UEFI 变量中。

当设置存储在固件中时，无法通过修改注册表或策略来删除或更改 UEFI 变量以配置添加的 LSA 保护。必须按照删除 LSA 保护 UEFI 变量中的说明重置 UEFI 变量。

自动启用

对于运行 Windows 11 版本 22H2 及更高版本的客户端设备，如果满足以下条件，则默认启用添加的 LSA 保护：

• 该设备是新安装的 Windows 11 版本 22H2 或更高版本，而不是从以前的版本升级而来的。
• 该设备已加入企业（加入 Active Directory 域、加入 Microsoft Entra 域或加入混合 Microsoft Entra 域）。
• 该设备具有虚拟机管理程序保护的代码完整性 (HVCI)功能。
  

在 Windows 11 版本 22H2 及更高版本上自动启用添加的 LSA 保护不会为该功能设置 UEFI 变量。如果要设置 UEFI 变量，可以使用注册表配置或策略。

使用注册表启用

• 打开注册表编辑器，或在运行对话框中输入RegEdit.exe，然后转到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa注册表项。
• 打开RunAsPPL值并编辑其数据：
  
  • 要使用 UEFI 变量配置该功能，请使用dword类型和00000001的数据值。
  • 要配置不使用 UEFI 变量的功能，请使用dword类型和00000002的数据值。此值仅在 Windows 11 build 22H2 及更高版本中强制执行。
    
• 重新启动计算机。
  

在 Windows 11 版本 22H2 及更高版本上使用本地组策略启用

• 在运行对话框中输入gpedit.msc打开本地组策略编辑器。
• 展开计算机配置>管理模板>系统>本地安全机构。
• 打开配置 LSASS 作为受保护进程运行策略。
• 将策略设置为“已启用”。
• 在“选项”下，选择以下选项之一：
  
  • 要使用 UEFI 变量配置该功能，请选择“使用 UEFI Lock 启用”。
  • 要配置没有 UEFI 变量的功能，请选择Enabled without UEFI Lock。
    
• 选择“确定”。
• 重新启动计算机。
  

使用组策略启用 LSA 保护

• 通过在运行对话框中输入gpmc.msc或从开始菜单中选择组策略管理控制台来打开组策略管理控制台。
• 创建一个在域级别链接或链接到包含您的计算机帐户的组织单位的新 GPO。或者，选择一个已部署的 GPO。
• 右键单击 GPO，然后选择编辑以打开组策略管理编辑器。
• 展开计算机配置>首选项> Windows 设置。
• 右键单击“注册表”，指向“新建”，然后选择“注册表项”。此时将出现“新建注册表属性”对话框。
• 在新注册表属性对话框中，选择或输入以下值：
  
  • 对于Hive，选择HKEY_LOCAL_MACHINE。
  • 对于Key Path，选择SYSTEM\CurrentControlSet\Control\Lsa。
  • 对于值名称，输入RunAsPPL。
  • 对于值类型，选择REG_DWORD。
  • 对于值数据，输入以下值之一：
    
    • 要使用 UEFI 变量启用 LSA 保护，请输入00000001。
    • 要启用不带 UEFI 变量的 LSA 保护，请输入00000002。此设置仅在 Windows 11 版本 22H2 及更高版本中强制执行。
      
    
    
• 选择“确定”。
  

通过创建自定义设备配置文件来启用 LSA 保护

对于运行 Windows 11 版本 22H2 及更高版本的设备，你可以按照以下部分中的步骤启用和配置 LSA 保护。此过程使用Microsoft Intune 管理中心创建自定义设备配置文件。

创建个人资料

• 在 Intune 管理中心，转到“设备” > “Windows” > “配置文件”，然后选择“创建配置文件”。
• 在创建个人资料屏幕上，选择以下选项：
  
  • 在平台下，选择Windows 10 及更高版本。
  • 在配置文件类型下，选择模板，然后选择自定义。
    
• 选择“创建”。
• 在“基本信息”屏幕上，输入配置文件的名称和可选描述，然后选择“下一步”。
  

添加初始配置设置

• 在配置设置屏幕上，选择添加。
• 在添加行屏幕上，输入以下信息：
  
  • 对于名称，输入开放移动联盟 - 统一资源 (OMA-URI) 设置的名称。
  • 对于OMA-URI，输入./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess。
  • 对于数据类型，选择整数。
  • 对于Value，输入以下值之一：
    
    • 要将 LSASS 配置为作为具有 UEFI 锁的受保护进程运行，请输入1。
    • 要将 LSASS 配置为作为没有 UEFI 锁的受保护进程运行，请输入2。
    • 选择“ 保存 ”，然后选择“ 下一步 ”。
      

完成配置文件配置

• 在“分配”页面上，配置分配，然后选择“下一步”。
• 在“适用性规则”页面上，配置任何适用性规则，然后选择“下一步”。
• 在“审阅 + 创建”页面上，验证配置，然后选择“创建”。
• 重新启动计算机。
  

有关此策略配置服务提供商 (CSP) 的更多信息，请参阅LocalSecurityAuthority -ConfigureLsaProtectedProcess。