Konfigurieren von zusätzlichem LSA-SchutzConfiguring Additional LSA Protection

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema für IT-Spezialisten erfahren Sie, wie Sie den zusätzlichen Schutz für den Prozess der lokalen Sicherheitsautorität (Local Security Authority, LSA) konfigurieren, um eine Codeinjizierung mit einer möglichen Beeinträchtigung der Anmeldeinformationen zu verhindern.This topic for the IT professional explains how to configure additional protection for the Local Security Authority (LSA) process to prevent code injection that could compromise credentials.

Mithilfe der lokalen Sicherheitsautorität, die auch den LSASS-Prozess (Local Security Authority Subsystem Service, Subsystemdienst für die lokale Sicherheitsautorität) umfasst, werden Benutzer für die lokale Anmeldung und Remoteanmeldung überprüft und lokale Sicherheitsrichtlinien erzwungen.The LSA, which includes the Local Security Authority Server Service (LSASS) process, validates users for local and remote sign-ins and enforces local security policies. Das Betriebssystem Windows 8.1 bietet zusätzlichen Schutz für die LSA, um das Lesen von Speicher und Code Injektion durch nicht geschützte Prozesse zu verhindern.The Windows 8.1 operating system provides additional protection for the LSA to prevent reading memory and code injection by non-protected processes. Dies sorgt für eine erhöhte Sicherheit in Bezug auf Anmeldeinformationen, die von der lokalen Sicherheitsautorität gespeichert und verwaltet werden.This provides added security for the credentials that the LSA stores and manages. Die geschützte Prozess Einstellung für LSA kann in Windows 8.1 konfiguriert werden, Sie kann jedoch nicht in Windows RT 8,1 konfiguriert werden.The protected process setting for LSA can be configured in Windows 8.1, but it cannot be configured in Windows RT 8.1. Wenn diese Einstellung zusammen mit dem sicheren Start verwendet wird, erhöht dies den Schutz, da das Deaktivieren des Registrierungsschlüssels HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa keine Wirkung hat.When this setting is used in conjunction with Secure Boot, additional protection is achieved because disabling the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry key has no effect.

Anforderungen an den geschützten Prozess für Plug-Ins oder TreiberProtected process requirements for plug-ins or drivers

Damit ein LSA-Plug-In oder -Treiber erfolgreich als geschützter Prozess geladen werden kann, muss er die folgenden Kriterien erfüllen:For an LSA plug-in or driver to successfully load as a protected process, it must meet the following criteria:

  1. SignaturüberprüfungSignature verification

    Der geschützte Modus erfordert, dass alle Plug-Ins, die in die lokale Sicherheitsautorität geladen werden, mit einer Microsoft-Signatur digital signiert werden.Protected mode requires that any plug-in that is loaded into the LSA is digitally signed with a Microsoft signature. Daher können alle Plug-Ins, die nicht signiert sind bzw. nicht mit einer Microsoft-Signatur signiert sind, in der lokalen Sicherheitsautorität nicht geladen werden.Therefore, any plug-ins that are unsigned or are not signed with a Microsoft signature will fail to load in LSA. Beispiele für diese Plug-Ins sind Smartcard-Treiber, kryptografische Plug-Ins und Kennwortfilter.Examples of these plug-ins are smart card drivers, cryptographic plug-ins, and password filters.

    LSA-Plug-Ins, bei denen es sich um Treiber handelt, z. B. Smartcard-Treiber, müssen mithilfe der WHQL-Zertifizierung signiert werden.LSA plug-ins that are drivers, such as smart card drivers, need to be signed by using the WHQL Certification. Weitere Informationen finden Sie unter WHQL-releasesignatur.For more information, see WHQL Release Signature.

    LSA-Plug-Ins, die nicht über einen WHQL-Zertifizierungsprozess verfügen, müssen mithilfe des Dateisignierdiensts für LSAsigniert werden.LSA plug-ins that do not have a WHQL Certification process, must be signed by using the file signing service for LSA.

  2. Anleitung zur Einhaltung des Microsoft Security Development Lifecycle (SDL)-ProzessesAdherence to the Microsoft Security Development Lifecycle (SDL) process guidance

    Alle Plug-Ins müssen die Vorgaben zur Einhaltung des jeweiligen SDL-Prozesses erfüllen.All of the plug-ins must conform to the applicable SDL process guidance. Weitere Informationen finden Sie unter Microsoft Security Development Lifecycle (SDL) – Anhang.For more information, see the Microsoft Security Development Lifecycle (SDL) Appendix.

    Auch wenn die Plug-Ins ordnungsgemäß mit einer Microsoft-Signatur signiert sind, kann eine Nichteinhaltung des SDL-Prozesses beim Laden eines Plug-Ins zu einem Fehler führen.Even if the plug-ins are properly signed with a Microsoft signature, non-compliance with the SDL process can result in failure to load a plug-in.

Nutzen Sie die folgende Liste, um eingehend zu testen, ob der LSA-Schutz aktiviert ist, bevor Sie das Feature allgemein bereitstellen:Use the following list to thoroughly test that LSA protection is enabled before you broadly deploy the feature:

  • Identifizieren Sie alle LSA-Plug-Ins und -Treiber, die in Ihrer Organisation verwendet werden.Identify all of the LSA plug-ins and drivers that are in use within your organization. Dazu gehören nicht von Microsoft stammende Treiber oder Plug-Ins, z. B. Smartcard-Treiber und kryptografische Plug-Ins, und eine intern entwickelte Software, die eingesetzt wird, um Kennwortfilter oder Benachrichtigungen über Kennwortänderungen zu erzwingen.This includes non-Microsoft drivers or plug-ins such as smart card drivers and cryptographic plug-ins, and any internally developed software that is used to enforce password filters or password change notifications.

  • Stellen Sie sicher, dass alle LSA-Plug-Ins digital mit einem Microsoft-Zertifikat signiert sind, damit beim Laden des Plug-Ins kein Fehler auftritt.Ensure that all of the LSA plug-ins are digitally signed with a Microsoft certificate so that the plug-in will not fail to load.

  • Stellen Sie sicher, dass alle ordnungsgemäß signierten Plug-Ins erfolgreich in die lokale Sicherheitsautorität geladen werden können und dass sie sich wie erwartet verhalten.Ensure that all of the correctly signed plug-ins can successfully load into LSA and that they perform as expected.

  • Verwenden Sie die Überwachungsprotokolle zum Identifizieren von LSA-Plug-Ins und -Treibern, die nicht als geschützter Prozess ausgeführt werden können.Use the audit logs to identify LSA plug-ins and drivers that fail to run as a protected process.

Mit aktiviertem LSA-Schutz eingeführte EinschränkungenLimitations introduced with enabled LSA protection

Wenn LSA-Schutz aktiviert ist, können Sie kein benutzerdefiniertes LSA-Plug-in DebuggenIf LSA protection is enabled, you cannot debug a custom LSA plugin. Es ist nicht möglich, einen Debugger an LSASS anzufügen, wenn es sich um einen geschützten Prozess handelt.You can't attach a debugger to LSASS when it's a protected process. Im Allgemeinen gibt es keine unterstützte Möglichkeit zum Debuggen eines laufenden geschützten Prozesses.In general, there is no supported way to debug a running protected process.

Identifizieren von LSA-Plug-Ins und -Treibern, die nicht als geschützter Prozess ausgeführt werden könnenHow to identify LSA plug-ins and drivers that fail to run as a protected process

Die in diesem Abschnitt beschriebenen Ereignisse sind im Betriebsprotokoll unter %%amp;quot;Anwendungs- und Dienstprotokolle\Microsoft\Windows\CodeIntegrity%%amp;quot; enthalten.The events described in this section are located in the Operational log under Applications and Services Logs\Microsoft\Windows\CodeIntegrity. Sie stellen eine Hilfe beim Identifizieren von LSA-Plug-Ins und -Treibern dar, die aufgrund von Signaturproblemen nicht geladen werden können.They can help you identify LSA plug-ins and drivers that are failing to load due to signing reasons. Zum Verwalten dieser Ereignisse können Sie das Befehlszeilentool wevtutil verwenden.To manage these events, you can use the wevtutil command-line tool. Informationen zu diesem Befehl finden Sie unter Wevtutil.For information about this tool, see Wevtutil.

Vor der Aktivierung: Identifizieren von Plug-Ins und Treibern, die von "lsass.exe" geladen werdenBefore opting in: How to identify plug-ins and drivers loaded by the lsass.exe

Mithilfe des Überwachungsmodus können Sie LSA-Plug-Ins und -Treiber identifizieren, die im LSA-Schutzmodus nicht geladen werden können.You can use the audit mode to identify LSA plug-ins and drivers that will fail to load in LSA Protection mode. Im Überwachungsmodus werden vom System Ereignisprotokolle generiert und alle Plug-Ins und Treiber identifiziert, die unter der lokalen Sicherheitsautorität nicht geladen werden können, wenn der LSA-Schutz aktiviert ist.While in the audit mode, the system will generate event logs, identifying all of the plug-ins and drivers that will fail to load under LSA if LSA Protection is enabled. Die Meldungen werden protokolliert, ohne die Plug-Ins oder Treiber zu blockieren.The messages are logged without blocking the plug-ins or drivers.

So aktivieren Sie den Überwachungsmodus für %%amp;quot;Lsass.exe%%amp;quot; auf einem einzelnen Computer per Bearbeitung der RegistrierungTo enable the audit mode for Lsass.exe on a single computer by editing the Registry
  1. Öffnen Sie den Registrierungs-Editor (RegEdit.exe), und navigieren Sie zum Registrierungsschlüssel unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.Open the Registry Editor (RegEdit.exe), and navigate to the registry key that is located at: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  2. Legen Sie den Wert des Registrierungsschlüssels auf AuditLevel=dword:00000008 fest.Set the value of the registry key to AuditLevel=dword:00000008.

  3. Starten Sie den Computer neu.Restart the computer.

Analysieren Sie die Ergebnisse von Ereignis 3065 und Ereignis 3066.Analyze the results of event 3065 and event 3066.

Anschließend werden diese Ereignisse möglicherweise in Ereignisanzeige angezeigt: Microsoft-Windows-codeintegrity/Operational:After this, you may see these events in Event Viewer: Microsoft-Windows-Codeintegrity/Operational:

  • Ereignis 3065: Mit diesem Ereignis wird aufgezeichnet, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise %%amp;quot;lsass.exe%%amp;quot;) einen bestimmten Treiber zu laden versucht hat, der die Sicherheitsanforderungen für freigegebene Abschnitte nicht erfüllt.Event 3065: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a particular driver that did not meet the security requirements for Shared Sections. Aufgrund der festgelegten Systemrichtlinie wurde das Laden des Images jedoch zugelassen.However, due to the system policy that is set, the image was allowed to load.

  • Ereignis 3066: Mit diesem Ereignis wird aufgezeichnet, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise %%amp;quot;lsass.exe%%amp;quot;) einen bestimmten Treiber zu laden versucht hat, der die Anforderungen an die Microsoft-Signaturebene nicht erfüllt.Event 3066: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a particular driver that did not meet the Microsoft signing level requirements. Aufgrund der festgelegten Systemrichtlinie wurde das Laden des Images jedoch zugelassen.However, due to the system policy that is set, the image was allowed to load.

Wichtig

Diese Betriebsereignisse werden nicht generiert, wenn auf einem System ein Kerneldebugger angefügt und aktiviert ist.These operational events are not generated when a kernel debugger is attached and enabled on a system.

Wenn ein Plug-In oder Treiber freigegebene Abschnitte enthält, wird Ereignis 3066 zusammen mit dem Ereignis 3065 protokolliert.If a plug-in or driver contains Shared Sections, Event 3066 is logged with Event 3065. Durch das Entfernen der freigegebenen Abschnitte sollte verhindert werden, dass diese beiden Ereignisse eintreten, es sei denn, das Plug-In erfüllt die Anforderungen an die Microsoft-Signaturebene nicht.Removing the Shared Sections should prevent both the events from occurring unless the plug-in does not meet the Microsoft signing level requirements.

Zum Aktivieren des Überwachungsmodus für mehrere Computer in einer Domäne können Sie die clientseitige Registrierungserweiterung für die Gruppenrichtlinie verwenden, um den Überwachungsebenen-Registrierungswert für %%amp;quot;Lsass.exe%%amp;quot; bereitzustellen.To enable audit mode for multiple computers in a domain, you can use the Registry Client-Side Extension for Group Policy to deploy the Lsass.exe audit-level registry value. Sie müssen den Registrierungsschlüssel %%amp;quot;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe%%amp;quot; ändern.You need to modify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe registry key.

So erstellen Sie die Einstellung des AuditLevel-Werts in einem GruppenrichtlinienobjektTo create the AuditLevel value setting in a GPO
  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).Open the Group Policy Management Console (GPMC).

  2. Erstellen Sie ein neues Gruppenrichtlinienobjekt (Group Policy Object, GPO), das auf der Domänenebene verknüpft ist oder das mit der Organisationseinheit verknüpft ist, die Ihre Computerkonten enthält.Create a new Group Policy Object (GPO) that is linked at the domain level or that is linked to the organizational unit that contains your computer accounts. Alternativ dazu können Sie ein GPO auswählen, das schon bereitgestellt wurde.Or you can select a GPO that is already deployed.

  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten, um den Gruppenrichtlinienverwaltungs-Editor zu öffnen.Right-click the GPO, and then click Edit to open the Group Policy Management Editor.

  4. Erweitern Sie nacheinander Computerkonfiguration, Einstellungen und dann Windows-Einstellungen.Expand Computer Configuration, expand Preferences, and then expand Windows Settings.

  5. Klicken Sie mit der rechten Maustaste auf Registrierung, zeigen Sie auf Neu, und klicken Sie dann auf Registrierungselement.Right-click Registry, point to New, and then click Registry Item. Das Dialogfeld Neue Registrierungseigenschaften wird angezeigt.The New Registry Properties dialog box appears.

  6. Klicken Sie in der Liste Hive auf HKEY_LOCAL_MACHINE.In the Hive list, click HKEY_LOCAL_MACHINE.

  7. Navigieren Sie in der Liste Schlüsselpfad zu SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.In the Key Path list, browse to SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  8. Geben Sie im Feld Wertname den Text AuditLevel ein.In the Value name box, type AuditLevel.

  9. Klicken Sie im Feld Werttyp auf REG_DWORD, um diese Option auszuwählen.In the Value type box, click to select the REG_DWORD.

  10. Geben Sie im Feld Wert den Wert 00000008 ein.In the Value data box, type 00000008.

  11. Klicken Sie auf OK.Click OK.

Hinweis

Damit das GPO wirksam wird, muss die GPO-Änderung auf alle Domänencontroller der Domäne repliziert werden.For the GPO take effect, the GPO change must be replicated to all domain controllers in the domain.

Zum Aktivieren des zusätzlichen LSA-Schutzes auf mehreren Computern können Sie die clientseitige Registrierungserweiterung für die Gruppenrichtlinie verwenden, indem Sie %%amp;quot;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa%%amp;quot; ändern.To opt-in for additional LSA protection on multiple computers, you can use the Registry Client-Side Extension for Group Policy by modifying HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Informationen zu den erforderlichen Schritten finden Sie unter Konfigurieren des zusätzlichen LSA-Schutzes für Anmeldeinformationen in diesem Thema.For steps about how to do this, see How to configure additional LSA protection of credentials in this topic.

Nach der Aktivierung: Identifizieren von Plug-Ins und Treibern, die von "lsass.exe" geladen werdenAfter opting in: How to identify plug-ins and drivers loaded by the lsass.exe

Sie können das Ereignisprotokoll verwenden, um LSA-Plug-Ins und -Treiber zu identifizieren, die im LSA-Schutzmodus nicht geladen werden konnten.You can use the event log to identify LSA plug-ins and drivers that failed to load in LSA Protection mode. Wenn der per LSA geschützte Prozess aktiviert ist, werden vom System Ereignisprotokolle generiert. Damit können alle Plug-Ins und Treiber identifiziert werden, die im LSA-Modus nicht geladen werden konnten.When the LSA protected process is enabled, the system generates event logs that identify all of the plug-ins and drivers that failed to load under LSA.

Analysieren Sie die Ergebnisse von Ereignis 3033 und Ereignis 3063.Analyze the results of Event 3033 and Event 3063.

Anschließend werden diese Ereignisse möglicherweise in Ereignisanzeige angezeigt: Microsoft-Windows-codeintegrity/Operational:After this, you may see these events in Event Viewer: Microsoft-Windows-Codeintegrity/Operational:

  • Ereignis 3033: Mit diesem Ereignis wird aufgezeichnet, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise %%amp;quot;lsass.exe%%amp;quot;) einen Treiber zu laden versucht hat, der die Anforderungen an die Microsoft-Signaturebene nicht erfüllt.Event 3033: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a driver that did not meet the Microsoft signing level requirements.

  • Ereignis 3063: Mit diesem Ereignis wird aufgezeichnet, dass bei einer Codeintegritätsprüfung ermittelt wurde, dass ein Prozess (normalerweise %%amp;quot;lsass.exe%%amp;quot;) einen Treiber zu laden versucht hat, der die Sicherheitsanforderungen für freigegebene Abschnitte nicht erfüllt.Event 3063: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a driver that did not meet the security requirements for Shared Sections.

Freigegebene Abschnitte sind in der Regel das Ergebnis von Programmiertechniken, bei denen Instanzdaten mit anderen Prozessen interagieren können, für die der gleiche Sicherheitskontext verwendet wird.Shared Sections are typically the result of programming techniques that allow instance data to interact with other processes that use the same security context. Dies kann zu Sicherheitsrisiken führen.This can create security vulnerabilities.

Konfigurieren des zusätzlichen LSA-Schutzes für AnmeldeinformationenHow to configure additional LSA protection of credentials

Auf Geräten mit Windows 8.1 (mit oder ohne sicheren Start oder UEFI) ist die Konfiguration möglich, indem die in diesem Abschnitt beschriebenen Verfahren ausgeführt werden.On devices running Windows 8.1 (with or without Secure Boot or UEFI), configuration is possible by performing the procedures described in this section. Bei Geräten, auf denen Windows RT 8,1 ausgeführt wird, ist lsass.exe Schutz immer aktiviert und kann nicht deaktiviert werden.For devices running Windows RT 8.1, lsass.exe protection is always enabled, and it cannot be turned off.

Auf x86-basierten oder x64-basierten Geräten mit oder ohne %%amp;quot;Sicherer Start%%amp;quot; und UEFIOn x86-based or x64-based devices using Secure Boot and UEFI or not

Auf x86-oder x64-basierten Geräten, von denen der sichere Start oder UEFI verwendet wird, wird in der UEFI-Firmware eine UEFI-Variable festgelegt, wenn der LSA-Schutz mithilfe des Registrierungsschlüssels aktiviert wird.On x86-based or x64-based devices that use Secure Boot or UEFI, a UEFI variable is set in the UEFI firmware when LSA protection is enabled by using the registry key. Wenn die Einstellung in der Firmware gespeichert wird, kann die UEFI-Variable im Registrierungsschlüssel nicht gelöscht oder geändert werden.When the setting is stored in the firmware, the UEFI variable cannot be deleted or changed in the registry key. Die UEFI-Variable muss zurückgesetzt werden.The UEFI variable must be reset.

x86-basierte oder x64-basierte Geräte, die UEFI oder %%amp;quot;Sicherer Start%%amp;quot; nicht unterstützen, werden deaktiviert, können die Konfiguration für den LSA-Schutz in der Firmware nicht speichern und sind vollständig vom Vorhandensein des Registrierungsschlüssels abhängig.x86-based or x64-based devices that do not support UEFI or Secure Boot are disabled, cannot store the configuration for LSA protection in the firmware, and rely solely on the presence of the registry key. In diesem Fall ist es möglich, den LSA-Schutz zu deaktivieren, indem der Remotezugriff auf das Gerät genutzt wird.In this scenario, it is possible to disable LSA protection by using remote access to the device.

Sie können die folgenden Verfahren verwenden, um den LSA-Schutz zu aktivieren oder zu deaktivieren:You can use the following procedures to enable or disable LSA protection:

So aktivieren Sie den LSA-Schutz auf einem einzelnen ComputerTo enable LSA protection on a single computer
  1. Öffnen Sie den Registrierungs-Editor (RegEdit.exe), und navigieren Sie zum Registrierungsschlüssel unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.Open the Registry Editor (RegEdit.exe), and navigate to the registry key that is located at: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  2. Legen Sie den Wert des Registrierungsschlüssels wie folgt fest: "RunAsPPL"=dword:00000001.Set the value of the registry key to: "RunAsPPL"=dword:00000001.

  3. Starten Sie den Computer neu.Restart the computer.

So aktivieren Sie den LSA-Schutz mithilfe der GruppenrichtlinieTo enable LSA protection using Group Policy
  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).Open the Group Policy Management Console (GPMC).

  2. Erstellen Sie ein neues Gruppenrichtlinienobjekt, das auf der Domänenebene verknüpft ist oder das mit der Organisationseinheit verknüpft ist, die Ihre Computerkonten enthält.Create a new GPO that is linked at the domain level or that is linked to the organizational unit that contains your computer accounts. Alternativ dazu können Sie ein GPO auswählen, das schon bereitgestellt wurde.Or you can select a GPO that is already deployed.

  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten, um den Gruppenrichtlinienverwaltungs-Editor zu öffnen.Right-click the GPO, and then click Edit to open the Group Policy Management Editor.

  4. Erweitern Sie nacheinander Computerkonfiguration, Einstellungen und dann Windows-Einstellungen.Expand Computer Configuration, expand Preferences, and then expand Windows Settings.

  5. Klicken Sie mit der rechten Maustaste auf Registrierung, zeigen Sie auf Neu, und klicken Sie dann auf Registrierungselement.Right-click Registry, point to New, and then click Registry Item. Das Dialogfeld Neue Registrierungseigenschaften wird angezeigt.The New Registry Properties dialog box appears.

  6. Klicken Sie in der Liste Struktur auf HKEY_LOCAL_MACHINE.In the Hive list, click HKEY_LOCAL_MACHINE.

  7. Navigieren Sie in der Liste Schlüsselpfad zu SYSTEM\CurrentControlSet\Control\Lsa.In the Key Path list, browse to SYSTEM\CurrentControlSet\Control\Lsa.

  8. Geben Sie im Feld Wertname Folgendes ein: RunAsPPL.In the Value name box, type RunAsPPL.

  9. Klicken Sie im Feld Werttyp auf REG_DWORD.In the Value type box, click the REG_DWORD.

  10. Geben Sie im Feld Wert Folgendes ein: 00000001.In the Value data box, type 00000001.

  11. Klicken Sie auf OK.Click OK.

So deaktivieren Sie den LSA-SchutzTo disable LSA protection
  1. Öffnen Sie den Registrierungs-Editor (RegEdit.exe), und navigieren Sie zum Registrierungsschlüssel unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.Open the Registry Editor (RegEdit.exe), and navigate to the registry key that is located at: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  2. Löschen Sie den folgenden Wert aus dem Registrierungsschlüssel: "RunAsPPL"=dword:00000001.Delete the following value from the registry key: "RunAsPPL"=dword:00000001.

  3. Verwenden Sie das Tool zum Deaktivieren des geschützten LSA-Prozesses (Local Security Authority (LSA) Protected Process Opt-out), um die UEFI-Variable zu löschen, wenn für das Gerät "Sicherer Start" genutzt wird.Use the Local Security Authority (LSA) Protected Process Opt-out tool to delete the UEFI variable if the device is using Secure Boot.

    Weitere Informationen zu diesem Tool finden Sie auf der Seite zum Download von Local Security Authority (LSA) Protected Process Opt-out im offiziellen Microsoft Download Center.For more information about the opt-out tool, see Download Local Security Authority (LSA) Protected Process Opt-out from Official Microsoft Download Center.

    Weitere Informationen zum Verwalten von "Sicherer Start" finden Sie unter UEFI-Firmware.For more information about managing Secure Boot, see UEFI Firmware.

    Warnung

    Wenn %%amp;quot;Sicherer Start%%amp;quot; deaktiviert ist, werden alle auf %%amp;quot;Sicherer Start%%amp;quot; und UEFI bezogenen Konfigurationen zurückgesetzt.When Secure Boot is turned off, all the Secure Boot and UEFI-related configurations are reset. Sie sollten %%amp;quot;Sicherer Start%%amp;quot; nur deaktivieren, wenn alle anderen Mittel zum Deaktivieren des LSA-Schutzes nicht zum Erfolg führen.You should turn off Secure Boot only when all other means to disable LSA protection have failed.

Überprüfen des LSA-SchutzesVerifying LSA protection

Wenn Sie ermitteln möchten, ob LSA beim Starten von Windows im geschützten Modus gestartet wurde, können Sie im Protokoll System unter Windows-Protokolle nach dem folgenden WinInit-Ereignis suchen:To discover if LSA was started in protected mode when Windows started, search for the following WinInit event in the System log under Windows Logs:

  • 12: "LSASS.exe" wurde als geschützter Prozess mit folgender Stufe gestartet: 412: LSASS.exe was started as a protected process with level: 4

Zusätzliche RessourcenAdditional resources

Schutz und Verwaltung von AnmeldeinformationenCredentials Protection and Management

Dateisignierdiensts für LSAFile signing service for LSA