LSA 保護モードの有効化 の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• LSA 保護モードの有効化 へ行く。
• LSA 保護モードの有効化 の差分を削除

#author("2020-10-28T16:16:02+09:00","","")
[[・Pass the Hash]]
#author("2020-11-08T12:47:36+09:00","","")
[[・Pass the Hash>https://www.softwareisac.jp/ipa/index.php?%E3%83%BBPass+the+Hash#v86ab53d]]

*LSA 保護モードの有効化 [#d169d19d]
**利用可能OS [#d2aac7ba]
Windows 8.1、Windows Server 2012R2以降

**Active Directory 要件 [#h65719bf]
なし

**機能 [#ff4c93ab]
LSASS プロセス (Lsass.exe) に読み込まれるプラグインは認定された署名を必要とすることで、プロセスを保護します。

**効果 [#cd017750]
LSASS プロセスに対する悪意のあるプラグインやコードの挿入を防止し、プロセスが保持している資格情報の窃盗を防ぎます。

**注意事項 [#p6483f37]
LSASS プロセスへの攻撃すべてが防げるわけではありません。LSASS 以外に保持されている資格情報の保護は対象外です。~
また、現在利用中のプラグインがエラーになる可能性があります。対象はスマートカードドライバー、暗号化プラグイン、パスワードフィルターなどです。事前に監査ログを設定し、利用中のプラグインをイベントから確認し、障害を回避します。

**関連情報 [#j09b6a32]
追加の LSA の保護の構成 https://msdn.microsoft.com/ja-jp/library/dn408187(v=ws.11).aspx




**設定方法 [#wfdd90af]
***単独のコンピューターに LSA の保護を有効にする [#h1c855f4]
+レジストリ エディター (RegEdit.exe) を開き、次の場所にあるレジストリ キーに移動します。
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
+レジストリ キーに次の値を設定します。"RunAsPPL"=dword:00000001
+コンピューターを再起動します。

***グループ ポリシーを使用して LSA の保護を有効にする [#y664c673]
+グループ ポリシー管理コンソール (GPMC) を開きます。
+GPO を右クリックし、 [編集] をクリックしてグループ ポリシー管理エディターを開きます。
+[コンピューターの構成]>[基本設定]>[Windows の設定]>[レジストリ] を右クリックし、 [新規] をポイントして、 [レジストリ項目] をクリックします。 [新しいレジストリのプロパティ] ダイアログ ボックスが表示されます。
+[ハイブ] の一覧で、HKEY_LOCAL_MACHINE をクリックします。
+キー パス 一覧の SYSTEM\CurrentControlSet\Control\Lsaを参照してください。
+[値の名前] ボックスに「RunAsPPL」と入力します。
+[値の種類] ボックスで、 [REG_DWORD] をクリックします。
+[値のデータ] ボックスに「00000001」と入力します。
+[OK] をクリックします。

***LSA の保護の確認 [#p392b945]
[イベントビューワー]> [Windows ログ]>[System] ログで次の WinInit イベントを検索し
ます。
-12: LSASS.exe がレベル 4 で保護されたプロセスとして起動されました

**リンク [#ue39c9d1]
追加の LSA の保護の構成：https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection