Local Security Authority (LSA) è un componente di Windows che gestisce l’autenticazione e i privilegi degli account utente e dei processi che accedono alle risorse del sistema. LSA gestisce le credenziali, inclusi i nomi utente e le password, e controlla l’accesso alle risorse di sistema come file, cartelle, stampanti e reti.
LSA viene utilizzato da molti servizi e applicazioni di Windows, incluso il servizio di autenticazione del sistema operativo: eventuali bug di sicurezza presenti in questo componente devono essere immediatamente risolti perché possono essere sfruttati da eventuali aggressori per acquisire privilegi elevati o accedere alle risorse senza averne alcun diritto. Ecco perché è importante non rimandare troppo l’installazione delle patch Microsoft che risolvono problemi individuati in componenti “delicati” come LSA.
Lo scorso anno Microsoft ha ricordato che rubare le password in Windows è possibile esaminando il contenuto della memoria e in particolare le informazioni gestite da LSA.
L’attivazione di ASR (Attack Surface Reduction) in Defender aiuta a ridurre la superficie d’attacco.
In Windows 11 la protezione dei processi di sistema facenti capo a LSA è stata inserita nella finestra Isolamento core che però mostra il messaggio d’allerta La protezione dell’autorità di sicurezza locale è disattivata anche quando la misura di sicurezza risulta effettivamente abilitata, così come si vede in figura.
Microsoft conferma che si tratta semplicemente di un bug (quanto indicato nel messaggio di avviso non corrisponde al vero…) e che se Protezione dell’autorità di protezione locale è impostata su Attivato il sistema Windows 11 è effettivamente difeso dai tentativi di aggressione sulle credenziali e le password in memoria.
Per evitare la comparsa del messaggio di avviso fintanto che Microsoft non avrà distribuito una patch correttiva, basta digitare cmd
nella casella di ricerca di Windows quindi selezionare Esegui come amministratore. I comandi seguenti permettono di far sparire l’allerta erroneo:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 2 /f
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPLBoot /t REG_DWORD /d 2 /f
Dopo aver utilizzato entrambi i comandi, è necessario riavviare Windows 11.
Microsoft ha recentemente annunciato che sui sistemi Windows 11 la protezione dei processi utilizzati da LSA sarà abilitata per impostazione predefinita.