LSASS 驱动程序

Windows 安全子系统是管理和执行计算机或域的安全策略的组件集。 本地安全权威 (Local Security Authority, LSA) 是负责本地安全策略和用户身份验证的主要组件。 LSA 包括与各种其他安全功能相关联的多个动态链接库 (DLL)，所有这些功能都在 LSA 子系统服务 (LSASS) lsass.exe 上下文中运行。

攻击者可能以 lsass.exe 驱动程序为目标，从而获得执行和/或持久性。 通过替换或添加非法驱动程序（例如，DLL 侧载（DLL Side-Loading）或 DLL 搜索顺序劫持（DLL Search Order Hijacking）)，攻击者可以实现由连续 LSA 操作触发的任意代码执行。

缓解

在 Windows 8.1 和 Server 2012 R2 上，通过设置注册表键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL 为 dword:00000001 以启用 LSA 保护。 LSA 保护确保仅加载具有 Microsoft 数字签名并遵循 Microsoft 安全开发生命周期 (SDL) 流程指导的 LSA 插件和驱动程序。 在 Windows 10 和 Server 2016 上，启用 Windows Defender Credential Guard 以在没有任何设备驱动程序的隔离虚拟化环境中运行 lsass.exe。

确保启用安全 DLL 搜索模式HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode 以降低 lsass.exe 加载恶意代码库的风险。

检测

启用 LSA 保护后，监视事件日志 (Events 3033 和 3063)，以查找加载 LSA 插件和驱动程序的失败尝试。

利用 Sysinternals Autoruns/Autorunsc 实用程序 检查与 LSA 相关的加载驱动程序。 使用 Sysinternals Process Monitor 实用程序监视 lsass.exe 中的 DLL 加载操作。