Содержание

Настройка дополнительной защиты LSA Configuring Additional LSA Protection
Требования к защищенным процессам для подключаемых модулей и драйверов Protected process requirements for plug-ins or drivers
Рекомендации Recommended practices
Ограничения, появившиеся с включенной защитой LSA Limitations introduced with enabled LSA protection
Определение подключаемых модулей и драйверов LSA, которые не удалось загрузить в качестве защищенного процесса How to identify LSA plug-ins and drivers that fail to run as a protected process
Перед включением защиты: определение подключаемых модулей и драйверов, загружаемых процессом lsass.exe Before opting in: How to identify plug-ins and drivers loaded by the lsass.exe
После включения защиты: определение подключаемых модулей и драйверов, загружаемых процессом lsass.exe After opting in: How to identify plug-ins and drivers loaded by the lsass.exe
Настройка дополнительной защиты LSA для учетных данных How to configure additional LSA protection of credentials
Устройства с архитектурой x86 или x64, использующие или не использующие безопасную загрузку и UEFI On x86-based or x64-based devices using Secure Boot and UEFI or not
Проверка защиты LSA Verifying LSA protection

Настройка дополнительной защиты LSA Configuring Additional LSA Protection

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

В этом разделе, предназначенном для ИТ-специалистов, описывается настройка дополнительной защиты для процесса локальной системы безопасности (LSA), чтобы предотвратить внедрение кода, которое может скомпрометировать учетные данные. This topic for the IT professional explains how to configure additional protection for the Local Security Authority (LSA) process to prevent code injection that could compromise credentials.

Система LSA, в которую входит процесс службы LSASS, проверяет пользователей во время локального и удаленного входа и применяет локальные политики безопасности. The LSA, which includes the Local Security Authority Server Service (LSASS) process, validates users for local and remote sign-ins and enforces local security policies. Windows 8.1 операционная система обеспечивает дополнительную защиту для LSA, чтобы предотвратить чтение памяти и внедрение кода незащищенными процессами. The Windows 8.1 operating system provides additional protection for the LSA to prevent reading memory and code injection by non-protected processes. Это усиливает безопасность учетных данных, которые хранит LSA и которыми управляет LSA. This provides added security for the credentials that the LSA stores and manages. Параметр защищенного процесса для LSA можно настроить в Windows 8.1, но его нельзя настроить в Windows RT 8,1. The protected process setting for LSA can be configured in Windows 8.1, but it cannot be configured in Windows RT 8.1. Если этот параметр используется в сочетании с безопасной загрузкой, то обеспечивается дополнительная защита, поскольку не действует отключение раздела реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. When this setting is used in conjunction with Secure Boot, additional protection is achieved because disabling the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry key has no effect.

Требования к защищенным процессам для подключаемых модулей и драйверов Protected process requirements for plug-ins or drivers

Для успешной загрузки подключаемого модуля или драйвера LSA в качестве защищенного процесса он должен соответствовать следующим условиям. For an LSA plug-in or driver to successfully load as a protected process, it must meet the following criteria:

Проверка подписи Signature verification

В защищенном режиме любой подключаемый модуль, загружаемый в LSA, должен иметь цифровую подпись Майкрософт. Protected mode requires that any plug-in that is loaded into the LSA is digitally signed with a Microsoft signature. Поэтому подключаемые модули без подписи, а также модули, не имеющие подписи Майкрософт, не будут загружаться в LSA. Therefore, any plug-ins that are unsigned or are not signed with a Microsoft signature will fail to load in LSA. Примерами таких подключаемых модулей являются драйверы смарт-карт, подключаемые модули для шифрования и фильтры паролей. Examples of these plug-ins are smart card drivers, cryptographic plug-ins, and password filters.

Подключаемые модули LSA, которые являются драйверами, например драйверы смарт-карт, должны заверяться с помощью сертификации WHQL. LSA plug-ins that are drivers, such as smart card drivers, need to be signed by using the WHQL Certification. Дополнительные сведения см. в разделе подпись выпуска WHQL. For more information, see WHQL Release Signature.

Подключаемые модули LSA, не участвующие в процессе сертификации WHQL, должны заверяться с помощью службы подписей файлов для LSA. LSA plug-ins that do not have a WHQL Certification process, must be signed by using the file signing service for LSA.

Соответствие руководству Майкрософт по процессам жизненного цикла разработки безопасного ПО (SDL) Adherence to the Microsoft Security Development Lifecycle (SDL) process guidance

Все подключаемые модули должны отвечать руководству по процессам SDL. All of the plug-ins must conform to the applicable SDL process guidance. Дополнительные сведения см. в жизненный цикл разработки защищенных приложений (Майкрософт) (SDL) приложении. For more information, see the Microsoft Security Development Lifecycle (SDL) Appendix.

Несоответствие процессу SDL может сделать невозможной загрузку подключаемого модуля, даже имеющего правильную подпись Майкрософт. Even if the plug-ins are properly signed with a Microsoft signature, non-compliance with the SDL process can result in failure to load a plug-in.

Ограничения, появившиеся с включенной защитой LSA Limitations introduced with enabled LSA protection

Если включена защита LSA, вы не можете отлаживать пользовательский подключаемый модуль LSA. If LSA protection is enabled, you cannot debug a custom LSA plugin. Вы не можете подключить отладчик к LSASS, если это защищенный процесс. You can’t attach a debugger to LSASS when it’s a protected process. Как правило, не существует поддерживаемого способа отладки работающего защищенного процесса. In general, there is no supported way to debug a running protected process.

Определение подключаемых модулей и драйверов LSA, которые не удалось загрузить в качестве защищенного процесса How to identify LSA plug-ins and drivers that fail to run as a protected process

События, описанные в этом разделе, находятся в операционном журнале в папке «Журналы приложений и служб\Microsoft\Windows\CodeIntegrity». The events described in this section are located in the Operational log under Applications and Services Logs\Microsoft\Windows\CodeIntegrity. Они помогут определить подключаемые модули и драйверы LSA, которые не удалось загрузить из-за проблем с подписями. They can help you identify LSA plug-ins and drivers that are failing to load due to signing reasons. Для управления этими событиями можно использовать программу командной строки wevtutil. To manage these events, you can use the wevtutil command-line tool. Информацию об этой программе см. в разделе Wevtutil. For information about this tool, see Wevtutil.

Перед включением защиты: определение подключаемых модулей и драйверов, загружаемых процессом lsass.exe Before opting in: How to identify plug-ins and drivers loaded by the lsass.exe

В режиме аудита можно определить подключаемые модули и драйверы LSA, которые будет невозможно загрузить в режиме защиты LSA. You can use the audit mode to identify LSA plug-ins and drivers that will fail to load in LSA Protection mode. В режиме аудита система будет создавать события в журнале, которые определяют все подключаемые модули и драйверы, которые будет невозможно загрузить в LSA, если включена защита LSA. While in the audit mode, the system will generate event logs, identifying all of the plug-ins and drivers that will fail to load under LSA if LSA Protection is enabled. Сообщения заносятся в журнал, но подключаемые модули и драйверы не блокируются. The messages are logged without blocking the plug-ins or drivers.

Включение режима аудита для процесса Lsass.exe на одиночном компьютере путем внесения изменений в реестр To enable the audit mode for Lsass.exe on a single computer by editing the Registry

Откройте редактор реестра (RegEdit.exe) и перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe. Open the Registry Editor (RegEdit.exe), and navigate to the registry key that is located at: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

Задайте для раздела значение AuditLevel=dword:00000008. Set the value of the registry key to AuditLevel=dword:00000008.

Перезагрузите компьютер. Restart the computer.

Проанализируйте результаты события 3065 и события 3066. Analyze the results of event 3065 and event 3066.

После этого эти события могут отображаться в Просмотр событий: Microsoft-Windows-Codeintegrity/эксплуатация: After this, you may see these events in Event Viewer: Microsoft-Windows-Codeintegrity/Operational:

Событие 3065. Это событие записывается, если при проверке целостности кода установлено, что процесс (обычно lsass.exe) пытался загрузить драйвер, который не отвечает требованиям безопасности для общих сеансов. Event 3065: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a particular driver that did not meet the security requirements for Shared Sections. Однако заданная системная политика разрешает загрузку изображения. However, due to the system policy that is set, the image was allowed to load.

Событие 3066. Это событие записывается, если при проверке целостности кода установлено, что процесс (обычно lsass.exe) пытался загрузить драйвер, который не отвечает требованиям к уровню подписи Майкрософт. Event 3066: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a particular driver that did not meet the Microsoft signing level requirements. Однако заданная системная политика разрешает загрузку изображения. However, due to the system policy that is set, the image was allowed to load.

Такие операционные события не создаются, если подключен отладчик ядра, который включен в системе. These operational events are not generated when a kernel debugger is attached and enabled on a system.

Если подключаемый модуль или драйвер содержит общие сеансы, то вместе с событием 3065 записывается событие 3066. If a plug-in or driver contains Shared Sections, Event 3066 is logged with Event 3065. После удаления общих сеансов ни одно из этих событий не должно появляться, если подключаемый модуль отвечает требованиям к уровню подписи Майкрософт. Removing the Shared Sections should prevent both the events from occurring unless the plug-in does not meet the Microsoft signing level requirements.

Чтобы включить режим аудита для нескольких компьютеров в домене, можно использовать клиентское расширение групповой политики для реестра и развернуть значение реестра для уровня аудита Lsass.exe. To enable audit mode for multiple computers in a domain, you can use the Registry Client-Side Extension for Group Policy to deploy the Lsass.exe audit-level registry value. Понадобится изменить раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe. You need to modify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe registry key.

Создание параметра AuditLevel в объекте групповой политики To create the AuditLevel value setting in a GPO

Откройте консоль управления групповыми политиками. Open the Group Policy Management Console (GPMC).

Создайте новый объект групповой политики, который связан на уровне домена или связан с подразделением, которому принадлежат учетные записи компьютеров. Create a new Group Policy Object (GPO) that is linked at the domain level or that is linked to the organizational unit that contains your computer accounts. Также можно выбрать уже развернутый объект групповой политики. Or you can select a GPO that is already deployed.

Щелкните правой кнопкой мыши объект групповой политики и выберите команду Изменить, чтобы открыть редактор управления групповыми политиками. Right-click the GPO, and then click Edit to open the Group Policy Management Editor.

Разверните узлы Конфигурация компьютера, Настройки и Параметры Windows. Expand Computer Configuration, expand Preferences, and then expand Windows Settings.

Щелкните правой кнопкой мыши элемент Реестр, укажите пункт Создать и выберите пункт Элемент реестра. Right-click Registry, point to New, and then click Registry Item. Откроется диалоговое окно Новые свойства реестра. The New Registry Properties dialog box appears.

В списке Hive щелкните HKEY_LOCAL_MACHINE. In the Hive list, click HKEY_LOCAL_MACHINE.

В списке Путь к разделу перейдите к разделу SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe. In the Key Path list, browse to SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

В поле Имя параметра введите AuditLevel. In the Value name box, type AuditLevel.

В поле Тип параметра выберите REG_DWORD. In the Value type box, click to select the REG_DWORD.

В поле Значение введите 00000008. In the Value data box, type 00000008.

Нажмите кнопку ОК. Click OK.

Чтобы объект групповой политики вступил в силу, его изменение нужно реплицировать на все контроллеры домена в домене. For the GPO take effect, the GPO change must be replicated to all domain controllers in the domain.

Чтобы включить дополнительную защиту LSA на нескольких компьютерах, можно использовать клиентское расширение групповой политики для реестра, изменив параметр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. To opt-in for additional LSA protection on multiple computers, you can use the Registry Client-Side Extension for Group Policy by modifying HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Эта процедура описана далее в разделе Настройка дополнительной защиты LSA для учетных данных. For steps about how to do this, see How to configure additional LSA protection of credentials in this topic.

После включения защиты: определение подключаемых модулей и драйверов, загружаемых процессом lsass.exe After opting in: How to identify plug-ins and drivers loaded by the lsass.exe

По журналу событий можно определить подключаемые модули и драйверы LSA, которые не удалось загрузить в режиме защиты LSA. You can use the event log to identify LSA plug-ins and drivers that failed to load in LSA Protection mode. Когда включен защищенный процесс LSA, система создает журналы событий, по которым определяются все подключаемые модули и драйверы, которые не удалось загрузить в LSA. When the LSA protected process is enabled, the system generates event logs that identify all of the plug-ins and drivers that failed to load under LSA.

Проанализируйте результаты события 3033 и события 3063. Analyze the results of Event 3033 and Event 3063.

Событие 3033. Это событие записывается, если при проверке целостности кода установлено, что процесс (обычно lsass.exe) пытался загрузить драйвер, который не отвечает требованиям к уровню подписи Майкрософт. Event 3033: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a driver that did not meet the Microsoft signing level requirements.

Событие 3063. Это событие записывается, если при проверке целостности кода установлено, что процесс (обычно lsass.exe) пытался загрузить драйвер, который не отвечает требованиям к безопасности для общих сеансов. Event 3063: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a driver that did not meet the security requirements for Shared Sections.

Общие сеансы обычно образуются, когда применяются приемы программирования, позволяющие данным экземпляра взаимодействовать с другими процессами, использующими тот же контекст безопасности. Shared Sections are typically the result of programming techniques that allow instance data to interact with other processes that use the same security context. Это может представлять уязвимость. This can create security vulnerabilities.

Настройка дополнительной защиты LSA для учетных данных How to configure additional LSA protection of credentials

На устройствах, на которых выполняется Windows 8.1 (с безопасной загрузкой или без нее), можно настроить, выполнив процедуры, описанные в этом разделе. On devices running Windows 8.1 (with or without Secure Boot or UEFI), configuration is possible by performing the procedures described in this section. Для устройств, использующих Windows RT 8,1, защита lsass.exe всегда включена и не может быть выключена. For devices running Windows RT 8.1, lsass.exe protection is always enabled, and it cannot be turned off.

Устройства с архитектурой x86 или x64, использующие или не использующие безопасную загрузку и UEFI On x86-based or x64-based devices using Secure Boot and UEFI or not

На устройствах на базе процессоров x86 или x64, использующих безопасную загрузку или UEFI, переменная UEFI задается в встроенном по UEFI при включении защиты LSA с помощью раздела реестра. On x86-based or x64-based devices that use Secure Boot or UEFI, a UEFI variable is set in the UEFI firmware when LSA protection is enabled by using the registry key. Если параметр хранится во встроенном ПО, то переменную UEFI нельзя удалить или изменить в разделе реестра. When the setting is stored in the firmware, the UEFI variable cannot be deleted or changed in the registry key. Необходимо сбросить переменную UEFI. The UEFI variable must be reset.

На 32-разрядных (x86) или 64-разрядных (x64) устройствах, где не поддерживается UEFI или безопасная загрузка, конфигурация защиты LSA не может храниться во встроенном ПО, и для них имеет значение только наличие раздела реестра. x86-based or x64-based devices that do not support UEFI or Secure Boot are disabled, cannot store the configuration for LSA protection in the firmware, and rely solely on the presence of the registry key. В таком сценарии есть возможность отключить защиту LSA, получив удаленный доступ к устройству. In this scenario, it is possible to disable LSA protection by using remote access to the device.

Для включения и отключения защиты LSA используются следующие процедуры. You can use the following procedures to enable or disable LSA protection:

Включение защиты LSA на отдельном компьютере To enable LSA protection on a single computer

Откройте редактор реестра (RegEdit.exe) и перейдите к разделу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Open the Registry Editor (RegEdit.exe), and navigate to the registry key that is located at: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

Задайте для раздела значение «RunAsPPL»=dword:00000001. Set the value of the registry key to: «RunAsPPL»=dword:00000001.

Перезагрузите компьютер. Restart the computer.

Включение защиты LSA с помощью групповой политики To enable LSA protection using Group Policy

Откройте консоль управления групповыми политиками. Open the Group Policy Management Console (GPMC).

Создайте новый объект групповой политики, который связан на уровне домена или связан с подразделением, которому принадлежат учетные записи компьютеров. Create a new GPO that is linked at the domain level or that is linked to the organizational unit that contains your computer accounts. Также можно выбрать уже развернутый объект групповой политики. Or you can select a GPO that is already deployed.

В списке Куст выберите HKEY_LOCAL_MACHINE. In the Hive list, click HKEY_LOCAL_MACHINE.

В списке путь к ключу перейдите по адресу систем\куррентконтролсет\контрол\лса. In the Key Path list, browse to SYSTEM\CurrentControlSet\Control\Lsa.

В поле имя значения введите рунасппл. In the Value name box, type RunAsPPL.

В поле Тип параметра выберите REG_DWORD. In the Value type box, click the REG_DWORD.

В поле данные значения введите 00000001. In the Value data box, type 00000001.

Нажмите кнопку ОК. Click OK.

Отключение защиты LSA To disable LSA protection

Удалите из раздела реестра параметр «RunAsPPL»=dword:00000001. Delete the following value from the registry key: «RunAsPPL»=dword:00000001.

Если на устройстве используется безопасная загрузка, используйте средство отключения защищенного процесса локальной системы безопасности (LSA), чтобы удалить переменную UEFI. Use the Local Security Authority (LSA) Protected Process Opt-out tool to delete the UEFI variable if the device is using Secure Boot.

Дополнительную информацию об управлении безопасной загрузкой см. в разделе Встроенное ПО UEFI. For more information about managing Secure Boot, see UEFI Firmware.

Когда выключается безопасная загрузка, сбрасываются все параметры конфигурации, относящиеся к UEFI и безопасной загрузке. When Secure Boot is turned off, all the Secure Boot and UEFI-related configurations are reset. Выключать безопасную загрузку следует только в том случае, если не удалось отключить защиту LSA ни одним из других способов. You should turn off Secure Boot only when all other means to disable LSA protection have failed.

Проверка защиты LSA Verifying LSA protection

Чтобы определить, запущена ли система LSA в защищенном режиме при загрузке Windows, найдите следующее событие WinInit в журнале Система в папке Журналы Windows: To discover if LSA was started in protected mode when Windows started, search for the following WinInit event in the System log under Windows Logs:

Lsass windows server 2016