LSA 保護モードの有効化

Last-modified: 2020-11-08 (日) 12:47:36

Top/LSA 保護モードの有効化

・Pass the Hash

LSA 保護モードの有効化 †

↑

利用可能OS †

Windows 8.1、Windows Server 2012R2以降

↑

Active Directory 要件 †

なし

↑

機能 †

LSASS プロセス (Lsass.exe) に読み込まれるプラグインは認定された署名を必要とすることで、プロセスを保護します。

↑

効果 †

LSASS プロセスに対する悪意のあるプラグインやコードの挿入を防止し、プロセスが保持している資格情報の窃盗を防ぎます。

↑

注意事項 †

LSASS プロセスへの攻撃すべてが防げるわけではありません。LSASS 以外に保持されている資格情報の保護は対象外です。
また、現在利用中のプラグインがエラーになる可能性があります。対象はスマートカードドライバー、暗号化プラグイン、パスワードフィルターなどです。事前に監査ログを設定し、利用中のプラグインをイベントから確認し、障害を回避します。

↑

設定方法 †

↑

単独のコンピューターに LSA の保護を有効にする †

レジストリエディター (RegEdit.exe) を開き、次の場所にあるレジストリキーに移動します。
```
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
```
レジストリキーに次の値を設定します。"RunAsPPL"=dword:00000001
コンピューターを再起動します。

↑

グループポリシーを使用して LSA の保護を有効にする †

グループポリシー管理コンソール (GPMC) を開きます。
GPO を右クリックし、 [編集] をクリックしてグループポリシー管理エディターを開きます。
[コンピューターの構成]>[基本設定]>[Windows の設定]>[レジストリ] を右クリックし、 [新規] をポイントして、 [レジストリ項目] をクリックします。 [新しいレジストリのプロパティ] ダイアログボックスが表示されます。
[ハイブ] の一覧で、HKEY_LOCAL_MACHINE をクリックします。
キーパス一覧の SYSTEM\CurrentControlSet\Control\Lsaを参照してください。
[値の名前] ボックスに「RunAsPPL」と入力します。
[値の種類] ボックスで、 [REG_DWORD] をクリックします。
[値のデータ] ボックスに「00000001」と入力します。
[OK] をクリックします。

↑

LSA の保護の確認 †

[イベントビューワー]> [Windows ログ]>[System] ログで次の WinInit イベントを検索します。

12: LSASS.exe がレベル 4 で保護されたプロセスとして起動されました

↑

リンク †

追加の LSA の保護の構成：https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection