本地安全機構（LSA）保護是 Windows 系統中驗證用戶身份的重要一環。LSA 管理著微軟賬號和 Azure 相關的密碼和令牌等必要的系統憑證。

什么是本地安全機構（LSA）？

本地安全機構是 Windows 操作系統中安全子系統的核心組件。本地安全機構 (LSA) 負責管理系統的交互式登錄。

當用戶嘗試在登錄對話框（也就是開機進入的登錄界面）中輸入用戶名和密碼本地登錄到系統之后，系統會自動調用 LSA，將我們輸入的憑據傳遞給安全帳戶管理器（SAM）。在 SAM 中存儲了相關的管理存儲的帳戶信息。

如果通過的話，LSA 授予用戶一個訪問令牌（Access Token），其中包含用戶的個人和組 SID 及其權限。用戶執行的每一個進程都有一個訪問令牌的副本。令牌標識了用戶身份、用戶所屬組、用戶特權。令牌還標識當前登錄會話的登錄 SID 安全標識符。

啟用 LSA 保護時引入的限制

如果啟用了其它 LSA 保護，則無法調試自定義 LSA 插件。當調試器是受保護的進程時，無法將調試器附加到 LSASS。一般情況下，不支持調試正在運行的受保護進程。

自動啟用

對于運行 Windows 11、22H2 的客戶端設備，如果滿足以下條件，則默認會啟用其它 LSA 保護：

• 設備是 Windows 11、22H2 (未從以前的版本) 升級的新安裝。
• 設備已加入企業 (已加入 Active Directory 域、加入 Azure AD 域或加入混合 Azure AD 域) 。
• 設備能夠 (HVCI) 受虛擬機監控程序保護的代碼完整性

在 Windows 11 上自動啟用額外的 LSA 保護，22H2 不會為該功能設置 UEFI 變量。如果要設置 UEFI 變量，可以使用注冊表配置或策略。

IT之家的網友們，如果想保護您的憑據免受攻擊者的攻擊，您必須啟用本地安全機構保護。在本文中，我們將通過三種不同的方式在您的計算機上啟用本地安全機構保護：

• 通過 Windows 安全中心方式
• 通過注冊表方式
• 使用本地組策略方式

通過 Windows 安全中心方式啟用

1. 按下 Win 鍵打開開始菜單

2. 在搜索框中搜索“Windows 安全中心”（不需要完整輸入），然后點擊“Windows 安全中心”

3. 點擊左側導航面板中的“設備安全性”，點擊“內核隔離”選項下的“內核隔離詳細信息”

4. 在跳出的頁面中勾選打開“本地安全機構保護”

5. 在用戶賬戶控制彈窗中選擇“是”

6. 重啟電腦觀察是否生效

通過注冊表方式啟用

1. 按下 Win 鍵打開開始菜單

2. 在搜索框中搜索“regedit”（不需要完整輸入），然后點擊“注冊表編輯器”

4. 然后雙擊 RunAsPPL 這個值，將其修改為“1”。如果注冊表中沒有的話，那么右鍵“新建”-》“DWORD（32 位）值”，將其重命名為 RunAsPPL 即可

5. 重啟電腦

通過組策略方式：

1. 使用 Win 鍵 + R 鍵組合快捷方式，然后輸入 gpedit.msc，點擊確定。

2. 展開 計算機配置-》管理模板-》系統，然后展開本地安全機構。

3. 打開 “將 LSASS 配置為作為受保護進程運行”選項

4.將策略設置為“已啟用”。

5.在 “選項”下，將“配置 LSA”設置為作為受保護的進程運行，以便：

“已啟用 UEFI 鎖定”，以便使用 UEFI 變量配置該功能。

“已啟用無 UEFI 鎖定”以配置沒有 UEFI 變量的功能。

6. 重新啟動計算機。