安全支持提供者

Windows 安全支持提供者 (SSP) DLL 在系统启动时加载到本地安全中心 (LSA) 进程中。一旦加载到 LSA 中，SSP DLL 就有权访问存储在 Windows 中加密数据和密码密明文，例如任何登录用户的域密码或智能卡 PIN。SSP 配置存储在两个注册表项中： HKLMPackages 和 HKLMPackages。攻击者可以修改这些注册表键来添加新的 SSP，这些 SSP 将在下一次系统启动时或者在调用 AddSecurityPackage Windows API 函数时加载。

缓解

Windows 8.1、Windows Server 2012 R2 以及后续版本可能通过设置注册表键 HKLM 使 LSA 作为受保护轻进程 (PPL) 运行，HKLM 要求所有 SSP DLL 都必须由 Microsoft 签名。

检测

监视注册表以查看对 SSP 注册表项的更改。 监控 DLL 加载的 LSA 进程。 当没有签名的 SSP DLL 试图设置注册表键 HKLMNTFile Execution Options.exe 的 AuditLevel = 8, 使其加载到 LSA 中时，Windows 8.1 和 Windows Server 2012 R2 可能会生成事件。