Поставщик служб CSP политики — LocalSecurityAuthority

  • Статья

Совет

Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.

Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.

AllowCustomSPsAPs

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅Windows 11, версия 22H2 [10.0.22621] и более поздние 
./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/AllowCustomSSPsAPs

Эта политика управляет конфигурацией, в которой LSASS загружает пользовательские SSP и APS.

  • Если этот параметр включен или не настроен, LSA разрешает загружать пользовательские SSP и APS.

  • Если этот параметр отключен, LSA не будет загружать пользовательские SSP и APS.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя AllowCustomSPsAPs
Понятное имя Разрешить загрузку пользовательских SSP и APS в LSASS
Location Конфигурация компьютера
Путь Локальный центр безопасности системы >
Имя раздела реестра Software\Policies\Microsoft\Windows\System
Имя значения реестра AllowCustomSPsAPs
Имя файла ADMX LocalSecurityAuthority.admx

ConfigureLsaProtectedProcess

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌		 ✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC		 ✅Windows 11, версия 22H2 [10.0.22621] и более поздние 
./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess

Эта политика управляет конфигурацией, в которой выполняется LSASS.

  • Если эта политика не настроена и в реестре нет текущего параметра, LSA будет выполняться как защищенный процесс для чисто установленных, поддерживающих HVCI, клиентских SKU, которые являются устройствами, присоединенными к домену или облачным доменом. Эта конфигурация не заблокирована UEFI. Его можно переопределить, если политика настроена.

  • Если настроить и задать для этого параметра политики значение "Отключено", LSA не будет выполняться как защищенный процесс.

  • Если настроить и задать для этого параметра политики значение EnabledWithUEFILock, LSA будет выполняться как защищенный процесс, и эта конфигурация будет заблокирована.

  • Если настроить и задать для этого параметра политики значение EnabledWithoutUEFILock, LSA будет выполняться как защищенный процесс, и эта конфигурация не будет заблокирована UEFI.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Служба отключена. Стандартное значение. LSA не будет выполняться как защищенный процесс.
1 Включена блокировка UEFI. LSA будет работать как защищенный процесс, и эта конфигурация заблокирована UEFI.
2 Включено без блокировки UEFI. LSA будет работать как защищенный процесс, и эта конфигурация не заблокирована UEFI.

Сопоставление групповой политики:

Имя Значение
Имя ConfigureLsaProtectedProcess
Понятное имя Настраивает LSASS для запуска в качестве защищенного процесса.
Location Конфигурация компьютера
Путь Локальный центр безопасности системы >
Имя раздела реестра System\CurrentControlSet\Control\Lsa
Имя файла ADMX LocalSecurityAuthority.admx

Поставщик служб конфигурации политики