Windows 11 内核隔离：深入了解「本地安全机构保护」

在 Windows 11 的安全体系中，「本地安全机构保护」扮演着至关重要的角色。「本地安全机构」（LSA）主要负责 3 件事：管理用户身份验证、执行安全策略，以及存储受保护的凭据。

在如今安全威胁层出不穷的环境下，这 3 项任务都至关重要。因此，微软引入了 LSA 保护功能，它能有效阻止有人篡改 LSA，防御针对系统的高危攻击。

01. 什么是「本地安全机构保护」

在说清楚「本地安全机构保护」之前，我们需要先搞清楚什么是「本地安全机构」，再来说为什么要「保护」。

1.1 本地安全机构

本地安全机构（LSA）是 Windows 系统的关键安全组件，专门负责处理像身份验证、安全策略和凭据存储这样的核心安全任务。它就像是电脑的「守门人」：

• 当用户尝试登录时，由它来验证身份、管理密码变更，并创建访问令牌。
• LSASS进程则是实现 LSA 子系统功能的具体进程。

1.2 LSA 保护

LSA 保护的核心目标，就是让LSASS进程更加安全：

• 通过将LSASS作为受保护进程（PPL，Protected Process Light）来运行，从而阻止不受信任的代码注入（injecting）其中，即便拥有管理员权限。
• 这一机制确保了只有受信任的服务和进程才能被加载，能有效阻止恶意程序或低权限进程的干扰，防范凭据窃取和恶意软件执行等风险。

02. 准备工作

在动手配置「本地安全机构保护」之前，请确认保足以下前提条件：

• 管理员权限：需要拥有管理员权限才能进行配置。
• 基于虚拟化的安全性（VBS）：LSA 保护需要在「内核隔离」模式下运行。VBS 会利用硬件虚拟化技术来隔离安全进程，其中就包括了LSASS。如果系统不支持 VBS，保护功能可能会无法开启。
• UEFI 安全启动：虽然不强制要求打开「安全启动」，但强烈建议开启。这能让 LSA 保护变得更加坚固。

03. 启用或禁用「本地安全机构保护」

3.1 通过「Windows 安全中心」

1按Windows + R快捷键打开「运行」对话框，执行windowsdefender:（有冒号）打开「Windows 安全中心」。

2进入「设备安全性」>「内核隔离详细信息」。

3根据你的需要，打开或关闭「本地安全机构保护」开关。

4重启电脑让更改生效。

3.2 通过组策略

1按Windows + R快捷键打开「运行」对话框，输入gpedit.msc并回车，打开「本地组策略编辑器」。

2展开「计算机配置」>「管理模板」>「系统」>「本地安全机构」。

3在列表中找到并双击「将 LSASS 配置为作为受保护进程运行」策略。

4选择「已启用」，并根据需要选择：

• 已禁用
• 使用 UEFI 锁启用（启用 PPL）
• 无 UEFI 定锁启用（启用 PPL + 驱动签名验证）

3.3 更改注册表

1按Windows + R快捷键打开「运行」对话框，执行regedit打开注册表编辑器。

2导航到以下路径：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3双击名为RunAsPPL的 DWORD (32 位) 值，并将其值设置为：

• 0：禁用 LSASS 的 PPL（Protected Process Light）保护
• 1：启用 LSASS 的 PPL 模式（标准受保护进程）
• 2：启用 PPL 模式，并启用驱动程序签名验证

4（可选）RunAsPPLBoot控制着系统在启动时是否以受保护的方式运行LSASS：

• 0：不启用 PPL
• 1：启用 PPL
• 2：启用 PPL + 驱动签名验证

5重启电脑以应用更改。

启用「本地安全机构保护」能有效增强 Windows 11 的整体安全性，特别是在身份验证和凭据保护方面，有助于抵御恶意攻击，符合现代安全规范。如果你遇到兼容性问题、老旧驱动不支持，或者需要排查登录问题，也可以选择暂时关闭该功能。合理配置，才能在安全与稳定之间找到最佳平衡点。