Configuración de protección LSA adicionalConfiguring Additional LSA Protection

Se aplica a: Windows Server (canal semianual), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

En este tema dedicado a los profesionales de TI se explica cómo configurar la protección adicional para el proceso de autoridad de seguridad local (LSA) de cara a evitar una inserción de código que podría poner en peligro las credenciales.This topic for the IT professional explains how to configure additional protection for the Local Security Authority (LSA) process to prevent code injection that could compromise credentials.

El proceso LSA, que incluye el proceso del Servicio de servidor de autoridad de seguridad local (LSASS), valida a los usuarios para los inicios de sesión locales y remotos y exige la aplicación de directivas de seguridad local.The LSA, which includes the Local Security Authority Server Service (LSASS) process, validates users for local and remote sign-ins and enforces local security policies. El sistema operativo de Windows 8.1 proporciona protección adicional para LSA de cara a evitar la lectura de memoria y la inserción de código por parte de procesos no protegidos.The Windows 8.1 operating system provides additional protection for the LSA to prevent reading memory and code injection by non-protected processes. Esto proporciona seguridad adicional para las credenciales que LSA almacena y administra.This provides added security for the credentials that the LSA stores and manages. La configuración del proceso protegido para LSA puede configurarse en Windows 8.1, pero no se puede configurar en Windows RT 8.1.The protected process setting for LSA can be configured in Windows 8.1, but it cannot be configured in Windows RT 8.1. Cuando esta configuración se utiliza conjuntamente con el arranque seguro, la protección adicional se consigue porque deshabilitar la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa no tiene ninguna consecuencia.When this setting is used in conjunction with Secure Boot, additional protection is achieved because disabling the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry key has no effect.

Requisitos de acceso protegido para complementos o controladoresProtected process requirements for plug-ins or drivers

Para que un complemento o un controlador de LSA se cargue correctamente como proceso protegido, debe cumplir los criterios siguientes:For an LSA plug-in or driver to successfully load as a protected process, it must meet the following criteria:

  1. Verificación de firmasSignature verification

    El modo protegido requiere que todos los complementos que se carguen en LSA estén firmados digitalmente mediante una firma de Microsoft.Protected mode requires that any plug-in that is loaded into the LSA is digitally signed with a Microsoft signature. Por consiguiente, todos los complementos no firmados o que no tengan una firma de Microsoft no se cargarán en LSA.Therefore, any plug-ins that are unsigned or are not signed with a Microsoft signature will fail to load in LSA. Algunos ejemplos de estos complementos son los controladores de tarjetas inteligentes, los complementos de cifrado y los filtros de contraseña.Examples of these plug-ins are smart card drivers, cryptographic plug-ins, and password filters.

    Los complementos de LSA que sean controladores, como los controladores de tarjetas inteligentes, tienen que estar firmados con la certificación de WHQL.LSA plug-ins that are drivers, such as smart card drivers, need to be signed by using the WHQL Certification. Para obtener más información, consulte firma de lanzamiento de WHQL.For more information, see WHQL Release Signature.

    Complementos LSA que no tienen un proceso de certificación de WHQL deben estar firmados con la archivo de servicio de firma para LSA.LSA plug-ins that do not have a WHQL Certification process, must be signed by using the file signing service for LSA.

  2. Adhesión a la orientación del proceso de ciclo de vida de desarrollo de seguridad (SDL) de MicrosoftAdherence to the Microsoft Security Development Lifecycle (SDL) process guidance

    Todos los complementos deben estar en conformidad con la orientación del proceso SDL aplicable.All of the plug-ins must conform to the applicable SDL process guidance. Para obtener más información, consulte el apéndice del ciclo de vida de desarrollo de seguridad (SDL) de Microsoft.For more information, see the Microsoft Security Development Lifecycle (SDL) Appendix.

    Incluso aunque los complementos estén debidamente firmados con una firma de Microsoft, la no conformidad con el proceso SDL puede generar errores al cargar un complemento.Even if the plug-ins are properly signed with a Microsoft signature, non-compliance with the SDL process can result in failure to load a plug-in.

Utilice la lista siguiente para probar exhaustivamente que la protección LSA esté habilitada antes de implementar la característica de forma generalizada:Use the following list to thoroughly test that LSA protection is enabled before you broadly deploy the feature:

  • Identifique todos los complementos y controladores de LSA que se están utilizando dentro de su organización.Identify all of the LSA plug-ins and drivers that are in use within your organization. Esto incluye los controladores o complementos que no son de Microsoft, como los controladores de tarjetas inteligentes, los complementos de cifrado y cualquier software desarrollado internamente que se utilice para exigir la aplicación de los filtros de contraseña o las notificaciones de cambio de contraseña.This includes non-Microsoft drivers or plug-ins such as smart card drivers and cryptographic plug-ins, and any internally developed software that is used to enforce password filters or password change notifications.

  • Asegúrese de que todos los complementos de LSA estén firmados digitalmente con un certificado de Microsoft para que no falle la carga del complemento.Ensure that all of the LSA plug-ins are digitally signed with a Microsoft certificate so that the plug-in will not fail to load.

  • Asegúrese de que todos los complementos firmados correctamente puedan cargarse adecuadamente en LSA y que tengan el rendimiento esperado.Ensure that all of the correctly signed plug-ins can successfully load into LSA and that they perform as expected.

  • Utilice los registros de auditoría para identificar los complementos y controladores de LSA que no se hayan ejecutado correctamente como proceso protegido.Use the audit logs to identify LSA plug-ins and drivers that fail to run as a protected process.

Limitaciones introducidas con la protección LSA habilitadaLimitations introduced with enabled LSA protection

Si está habilitada la protección LSA, no puede depurar un complemento personalizado de la LSA.If LSA protection is enabled, you cannot debug a custom LSA plugin. No se puede adjuntar a un depurador a LSASS cuando es un proceso protegido.You can’t attach a debugger to LSASS when it’s a protected process. En general, no hay ninguna manera compatible para depurar un proceso protegido en ejecución.In general, there is no supported way to debug a running protected process.

Cómo identificar los complementos y controladores de LSA que no se hayan ejecutado correctamente como proceso protegidoHow to identify LSA plug-ins and drivers that fail to run as a protected process

Los eventos descritos en esta sección están ubicados en el registro operativo, bajo Registros de aplicaciones y servicios\Microsoft\Windows\CodeIntegrity.The events described in this section are located in the Operational log under Applications and Services Logs\Microsoft\Windows\CodeIntegrity. Pueden ayudarlo a identificar los complementos y controladores de LSA que no se han cargado correctamente debido a problemas relacionados con firmas.They can help you identify LSA plug-ins and drivers that are failing to load due to signing reasons. Para administrar estos eventos, utiliza la herramienta de línea de comandos wevtutil.To manage these events, you can use the wevtutil command-line tool. Para obtener más información sobre esta herramienta, consulte Wevtutil.For information about this tool, see Wevtutil.

Antes de participar: Cómo identificar los complementos y controladores cargados por lsass.exeBefore opting in: How to identify plug-ins and drivers loaded by the lsass.exe

Puede utilizar el modo de auditoría para identificar los complementos y controladores de LSA que no se cargarán correctamente en modo de protección LSA.You can use the audit mode to identify LSA plug-ins and drivers that will fail to load in LSA Protection mode. Mientras esté en modo de auditoría, el sistema generará registros de eventos e identificará todos los complementos y controladores que no se cargarán correctamente bajo LSA si se ha habilitado la protección LSA.While in the audit mode, the system will generate event logs, identifying all of the plug-ins and drivers that will fail to load under LSA if LSA Protection is enabled. Los mensajes se registran sin bloquear los complementos o controladores.The messages are logged without blocking the plug-ins or drivers.

Para habilitar el modo de auditoría para Lsass.exe en un único equipo mediante la edición del RegistroTo enable the audit mode for Lsass.exe on a single computer by editing the Registry
  1. Abre el Editor del Registro (RegEdit.exe) y desplázate a la clave del Registro que se encuentra en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.Open the Registry Editor (RegEdit.exe), and navigate to the registry key that is located at: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  2. Establece el valor de la clave del Registro en AuditLevel=dword:00000008.Set the value of the registry key to AuditLevel=dword:00000008.

  3. Reinicie el equipo.Restart the computer.

Analice los resultados del evento 3065 y el evento 3066.Analyze the results of event 3065 and event 3066.

Una vez hecho esto, puede ver estos eventos en el Visor de eventos: Microsoft-Windows-Codeintegrity/Operational:After this, you may see these events in Event Viewer: Microsoft-Windows-Codeintegrity/Operational:

  • Evento 3065: este evento registra que una comprobación de integridad de código ha determinado que un proceso (normalmente lsass.exe) ha intentado cargar un controlador específico que no ha cumplido los requisitos de seguridad para las secciones compartidas.Event 3065: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a particular driver that did not meet the security requirements for Shared Sections. No obstante, a causa de la directiva del sistema establecida, se ha permitido la carga de la imagen.However, due to the system policy that is set, the image was allowed to load.

  • Evento 3066: este evento registra que una comprobación de integridad de código ha determinado que un proceso (normalmente lsass.exe) ha intentado cargar un controlador específico que no ha cumplido los requisitos de nivel de firma de Microsoft.Event 3066: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a particular driver that did not meet the Microsoft signing level requirements. No obstante, a causa de la directiva del sistema establecida, se ha permitido la carga de la imagen.However, due to the system policy that is set, the image was allowed to load.

Importante

Estos eventos operativos no se generan cuando un depurador de kernel se adjunta y se habilita en un sistema.These operational events are not generated when a kernel debugger is attached and enabled on a system.

Si un complemento o un controlador contiene secciones compartidas, el evento 3066 se registra con el evento 3065.If a plug-in or driver contains Shared Sections, Event 3066 is logged with Event 3065. La eliminación de las secciones compartidas evitará que se produzcan ambos eventos, a menos que el complemento no cumpla los requisitos de nivel de firma de Microsoft.Removing the Shared Sections should prevent both the events from occurring unless the plug-in does not meet the Microsoft signing level requirements.

Para habilitar el modo de auditoría para varios equipos en un dominio, puede utilizar la extensión del lado cliente de directiva de grupo del Registro para implementar el valor del Registro de nivel de auditoría.To enable audit mode for multiple computers in a domain, you can use the Registry Client-Side Extension for Group Policy to deploy the Lsass.exe audit-level registry value. Deberá modificar la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.You need to modify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe registry key.

Para crear la configuración del valor AuditLevel en un GPOTo create the AuditLevel value setting in a GPO
  1. Abra la Consola de administración de directivas de grupo (GPMC).Open the Group Policy Management Console (GPMC).

  2. Cree un nuevo objeto de directiva de grupo (GPO) que esté vinculado a la unidad organizativa que contiene las cuentas de su equipo.Create a new Group Policy Object (GPO) that is linked at the domain level or that is linked to the organizational unit that contains your computer accounts. O puede seleccionar un GPO que ya esté implementado.Or you can select a GPO that is already deployed.

  3. Haga clic con el botón derecho en el GPO y posteriormente haga clic en Editar para abrir el Editor de administración de directivas de grupo.Right-click the GPO, and then click Edit to open the Group Policy Management Editor.

  4. Expande Configuración del equipo, expande Preferencias y, a continuación, expande Configuración de Windows.Expand Computer Configuration, expand Preferences, and then expand Windows Settings.

  5. Haga clic con el botón derecho en Registro, seleccione Nuevo y, a continuación, haga clic en Elemento del Registro.Right-click Registry, point to New, and then click Registry Item. Aparece el cuadro de diálogo Nuevas propiedades de Registro.The New Registry Properties dialog box appears.

  6. En el Hive lista, haga clic en HKEY_LOCAL_MACHINE.In the Hive list, click HKEY_LOCAL_MACHINE.

  7. En la lista Ruta de la clave, busca SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.In the Key Path list, browse to SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

  8. En el cuadro Nombre del valor, escribe AuditLevel.In the Value name box, type AuditLevel.

  9. En el cuadro Tipo de valor, haga clic para seleccionar REG_DWORD.In the Value type box, click to select the REG_DWORD.

  10. En el cuadro Datos del valor, escribe 00000008.In the Value data box, type 00000008.

  11. Haga clic en Aceptar.Click OK.

Nota

Para que se aplique el GPO, el cambio del GPO debe replicarse a todos los controladores de dominio en el dominio.For the GPO take effect, the GPO change must be replicated to all domain controllers in the domain.

Para participar en la protección LSA adicional en varios equipos, puede utilizar la extensión del lado cliente de directiva de grupo del Registro modificando HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.To opt-in for additional LSA protection on multiple computers, you can use the Registry Client-Side Extension for Group Policy by modifying HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Para conocer los pasos necesarios para llevarlo a cabo, consulte la información acerca de cómo configurar la protección LSA adicional de credenciales en este tema.For steps about how to do this, see How to configure additional LSA protection of credentials in this topic.

Tras la participación: Cómo identificar los complementos y controladores cargados por lsass.exeAfter opting in: How to identify plug-ins and drivers loaded by the lsass.exe

Puede utilizar el registro de eventos para identificar los complementos y controladores de LSA que no se han cargado correctamente en modo de protección LSA.You can use the event log to identify LSA plug-ins and drivers that failed to load in LSA Protection mode. Cuando el proceso protegido de LSA está habilitado, el sistema genera registros de eventos que identifican todos los complementos y controladores que no se han podido cargar bajo LSA.When the LSA protected process is enabled, the system generates event logs that identify all of the plug-ins and drivers that failed to load under LSA.

Analice los resultados del evento 3033 y el evento 3063.Analyze the results of Event 3033 and Event 3063.

Una vez hecho esto, puede ver estos eventos en el Visor de eventos: Microsoft-Windows-Codeintegrity/Operational:After this, you may see these events in Event Viewer: Microsoft-Windows-Codeintegrity/Operational:

  • Evento 3033: este evento registra que una comprobación de integridad de código ha determinado que un proceso (normalmente lsass.exe) ha intentado cargar un controlador que no ha cumplido los requisitos de nivel de firma de Microsoft.Event 3033: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a driver that did not meet the Microsoft signing level requirements.

  • Evento 3063: este evento registra que una comprobación de integridad de código ha determinado que un proceso (normalmente lsass.exe) ha intentado cargar un controlador que no ha cumplido los requisitos de seguridad para las secciones compartidas.Event 3063: This event records that a code integrity check determined that a process (usually lsass.exe) attempted to load a driver that did not meet the security requirements for Shared Sections.

Las secciones compartidas normalmente son el resultado de técnicas de programación que permiten que los datos de instancia interactúen con otros procesos que utilizan el mismo contexto de seguridad.Shared Sections are typically the result of programming techniques that allow instance data to interact with other processes that use the same security context. Esto puede crear vulnerabilidades de seguridad.This can create security vulnerabilities.

Cómo configurar la protección LSA adicional de credencialesHow to configure additional LSA protection of credentials

En dispositivos que ejecutan Windows 8.1 (con o sin arranque de seguridad o UEFI), la configuración es posible mediante la realización de los procedimientos descritos en esta sección.On devices running Windows 8.1 (with or without Secure Boot or UEFI), configuration is possible by performing the procedures described in this section. Para dispositivos que ejecutan Windows RT 8.1, protección de lsass.exe siempre está habilitada y no se puede desactivar.For devices running Windows RT 8.1, lsass.exe protection is always enabled, and it cannot be turned off.

En los dispositivos basados en x86 o x64 con o sin arranque seguro y UEFIOn x86-based or x64-based devices using Secure Boot and UEFI or not

En los dispositivos basados en x86 y x64 que utilizan arranque seguro y UEFI, se establece una variable UEFI en el firmware UEFI cuando se habilita la protección LSA con la clave del Registro.On x86-based or x64-based devices that use Secure Boot and UEFI, a UEFI variable is set in the UEFI firmware when LSA protection is enabled by using the registry key. Cuando la configuración se almacena en el firmware, la variable UEFI no puede suprimirse ni cambiarse en la clave del Registro.When the setting is stored in the firmware, the UEFI variable cannot be deleted or changed in the registry key. La variable UEFI debe restablecerse.The UEFI variable must be reset.

Los dispositivos basados en x86 o x64 que no admiten UEFI o en los que el arranque seguro está deshabilitado no pueden almacenar la configuración para la protección LSA en el firmware y únicamente dependen de la presencia de la clave del Registro.x86-based or x64-based devices that do not support UEFI or Secure Boot are disabled, cannot store the configuration for LSA protection in the firmware, and rely solely on the presence of the registry key. En este escenario, es posible deshabilitar la protección LSA con el acceso remoto al dispositivo.In this scenario, it is possible to disable LSA protection by using remote access to the device.

Puede utilizar los procedimientos siguientes para habilitar o deshabilitar la protección LSA:You can use the following procedures to enable or disable LSA protection:

Para habilitar la protección LSA en un único equipoTo enable LSA protection on a single computer
  1. Abre el Editor del Registro (RegEdit.exe) y desplázate a la clave del Registro que se encuentra en: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.Open the Registry Editor (RegEdit.exe), and navigate to the registry key that is located at: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  2. Establece el valor de la clave del Registro en: "RunAsPPL"=dword:00000001.Set the value of the registry key to: "RunAsPPL"=dword:00000001.

  3. Reinicie el equipo.Restart the computer.

Para habilitar la protección LSA con la directiva de grupoTo enable LSA protection using Group Policy
  1. Abra la Consola de administración de directivas de grupo (GPMC).Open the Group Policy Management Console (GPMC).

  2. Cree un nuevo GPO que esté vinculado a la unidad organizativa que contenga las cuentas de su equipo.Create a new GPO that is linked at the domain level or that is linked to the organizational unit that contains your computer accounts. O puede seleccionar un GPO que ya esté implementado.Or you can select a GPO that is already deployed.

  3. Haga clic con el botón derecho en el GPO y posteriormente haga clic en Editar para abrir el Editor de administración de directivas de grupo.Right-click the GPO, and then click Edit to open the Group Policy Management Editor.

  4. Expande Configuración del equipo, expande Preferencias y, a continuación, expande Configuración de Windows.Expand Computer Configuration, expand Preferences, and then expand Windows Settings.

  5. Haga clic con el botón derecho en Registro, seleccione Nuevo y, a continuación, haga clic en Elemento del Registro.Right-click Registry, point to New, and then click Registry Item. Aparece el cuadro de diálogo Nuevas propiedades de Registro.The New Registry Properties dialog box appears.

  6. En la lista Subárbol, haz clic en HKEY_LOCAL_MACHINE.In the Hive list, click HKEY_LOCAL_MACHINE.

  7. En el Key Path enumerar, examinar SYSTEM\CurrentControlSet\Control\Lsa.In the Key Path list, browse to SYSTEM\CurrentControlSet\Control\Lsa.

  8. En el nombre del valor , escriba RunAsPPL.In the Value name box, type RunAsPPL.

  9. En el cuadro Tipo de valor, haga clic en REG_DWORD.In the Value type box, click the REG_DWORD.

  10. En el datos del valor , escriba 00000001.In the Value data box, type 00000001.

  11. Haga clic en Aceptar.Click OK.

Para deshabilitar la protección LSATo disable LSA protection
  1. Abre el Editor del Registro (RegEdit.exe) y desplázate a la clave del Registro que se encuentra en: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.Open the Registry Editor (RegEdit.exe), and navigate to the registry key that is located at: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  2. Elimina el siguiente valor de la clave del Registro: "RunAsPPL"=dword:00000001.Delete the following value from the registry key: "RunAsPPL"=dword:00000001.

  3. Utiliza la herramienta de cancelación de procesos protegidos de autoridad de seguridad local (LSA) para suprimir la variable UEFI si el dispositivo está utilizando el arranque de seguridad.Use the Local Security Authority (LSA) Protected Process Opt-out tool to delete the UEFI variable if the device is using Secure Boot.

    Para obtener más información acerca de la herramienta de participación, vea autoridad de seguridad Local (LSA) descargar procesos protegidos para participar en el centro de descarga de Microsoft oficial.For more information about the opt-out tool, see Download Local Security Authority (LSA) Protected Process Opt-out from Official Microsoft Download Center.

    Para obtener más información acerca de cómo administrar el arranque seguro, consulte Firmware UEFI.For more information about managing Secure Boot, see UEFI Firmware.

    Advertencia

    Cuando el arranque seguro está desactivado, todas las configuraciones relacionadas con el arranque seguro y UEFI se restablecen.When Secure Boot is turned off, all the Secure Boot and UEFI-related configurations are reset. Debe desactivar el arranque seguro únicamente cuando hayan fallado todos los demás medios de deshabilitación de la protección LSA.You should turn off Secure Boot only when all other means to disable LSA protection have failed.

Verificar la protección LSAVerifying LSA protection

Para descubrir si LSA se ha iniciado en modo protegido cuando se ha iniciado Windows, busque el evento WinInit siguiente en el registro Sistema bajo Registros de Windows:To discover if LSA was started in protected mode when Windows started, search for the following WinInit event in the System log under Windows Logs:

  • 12: LSASS.exe se inició como un proceso protegido con nivel: 412: LSASS.exe was started as a protected process with level: 4

Recursos adicionalesAdditional resources

Protección y administración de credencialesCredentials Protection and Management

Archivo de servicio de firma para LSAFile signing service for LSA