Гид по технологиям

Как включить защиту Local Security Authority (LSA) в Windows

5 min read Windows Security Обновлено 04 Jan 2026
Включение защиты LSA в Windows
Включение защиты LSA в Windows

Ноутбук с установленной Windows 11 на рабочем столе

Что такое защита LSA и зачем её включать

Local Security Authority (LSA) — это служба Windows, которая проверяет подлинность пользователей и хранит чувствительные данные (пароли, токены, секреты Microsoft и Azure). Когда LSA запущена в защищённом режиме, память процесса и данные недоступны для большинства атак и снижают риск кражи учётных данных.

Кратко: включение защиты LSA — это один из простых и эффективных способов уменьшить вероятность успешной атаки на ваши учётные записи.

Важно: включение защищённого режима LSA иногда вызывает несовместимость с устаревшим ПО, поэтому проверяйте работоспособность критичных приложений после изменений.

Быстрые варианты включения (обзор)

  • Через Windows Security — самый безопасный и простой способ для обычных пользователей.
  • Через Редактор реестра — полезно для автоматизации или если Windows Security недоступен.
  • Через Локальную групповую политику — удобно в корпоративной среде или для массовой настройки.

1. Включение через Windows Security

Windows Security — центр безопасности в Windows. Он позволяет включать встроенные защиты без правки реестра.

Шаги:

  1. Нажмите клавишу Win, чтобы открыть меню «Пуск». (Win)
  2. Введите Windows Security в строке поиска и нажмите Enter.
  3. В левом меню выберите «Безопасность устройства» (Device security).
  4. Под разделом «Изоляция ядра» (Core isolation) нажмите «Подробности изоляции ядра» (Core isolation details).
  5. Включите переключатель в секции «Защита Local Security Authority (LSA)».

Включение защиты LSA в Windows Security

  1. Подтвердите UAC — нажмите Да.
  2. Перезагрузите компьютер.

Примечание: если параметр недоступен (серый), проверьте поддержку платформы и наличие обновлений Windows.

2. Включение через Редактор реестра (Regedit)

Используйте этот способ только если вы знаете, как восстанавливать реестр. Неправильное редактирование реестра может привести к нестабильности системы.

Перед началом: создайте резервную копию реестра (Файл → Экспорт) или создайте точку восстановления системы.

Шаги:

  1. Нажмите Win + R.
  2. Введите regedit и нажмите OK.
  3. Перейдите к ветке:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  1. Выберите ключ Lsa в левой панели.
  2. Найдите значение RunAsPPL в правой панели. Если его нет — создайте его: правый клик → Создать → Параметр DWORD (32-бит) → имя RunAsPPL.
  3. Дважды кликните по RunAsPPL, установите значение 1 и нажмите OK.
  4. Закройте Редактор реестра и перезагрузите компьютер.

Важно: значение 0 — отключено, 1 — включено. Убедитесь, что вы используете правильный тип значения (DWORD).

3. Включение через Локальную групповую политику (gpedit.msc)

Групповая политика удобна для системных администраторов и позволяет задать дополнительную защиту с опцией UEFI Lock.

Шаги:

  1. Нажмите Win + R, введите gpedit.msc, нажмите OK.
  2. В левой панели откройте «Конфигурация компьютера» → «Административные шаблоны» → «Система» → «Local Security Authority».
  3. Двойной клик по политике «Configure LSASS to run as a protected process» (Настроить запуск LSASS как защищённого процесса).
  4. Выберите Включено (Enabled).
  5. В выпадающем списке выберите Enabled with UEFI Lock.

Параметр «Enabled with UEFI Lock» в локальном редакторе групповой политики

  1. Нажмите ПрименитьOK.
  2. Перезагрузите компьютер.

Пояснение: опция UEFI Lock предотвращает отмену политики при загрузке, если прошивка UEFI поддерживает блокировку. Это увеличивает безопасность, но требует корректной настройки прошивки.

Советы перед включением и шаги отката

  • Резервная копия: обязательно экспортируйте ключи реестра или создайте точку восстановления.
  • Тестирование: сначала включите защиту на одном тестовом компьютере.
  • Откат: чтобы отключить — верните RunAsPPL в 0 или в групповой политике выберите «Не задана»/«Отключено» и перезагрузите.

Краткий SOP для изменения реестра:

  1. Создать точку восстановления.
  2. Экспортировать ключ Lsa.
  3. Изменить значение RunAsPPL на 1.
  4. Перезагрузить и проверить работоспособность приложений.
  5. При проблемах — вернуть экспорт и перезагрузить.

Что может пойти не так (когда это не сработает)

  • Старые драйверы или устаревшее ПО могут блокировать включение защиты. Обновите драйверы и приложения.
  • Антивирус или сторонние средства управления безопасностью иногда конфликтуют с изоляцией ядра.
  • Если устройство не поддерживает необходимые функции платформы, вкладки в Windows Security могут быть недоступны.

Проверка успешного включения и тесты приёмки

Критерии приёмки:

  • Параметр LSA отмечен как включён в Windows Security или RunAsPPL = 1.
  • Система корректно загружается и критичные приложения работают.
  • Нет ошибок в системном журнале, связанных с lsass.exe.

Простейшие тесты:

  • Запуск приложений, которые ранее имели доступ к службам аутентификации.
  • Проверка системного журнала (Просмотр событий) на наличие ошибок после перезагрузки.

Альтернативные подходы и рекомендации для администраторов

  • Централизованное управление: в домене используйте групповые политики через AD для массового развёртывания.
  • Автоматизация: применяйте скрипты PowerShell для правки реестра с проверками отката.
  • Модель зрелости: начинайте с тестовой группы → пилотная группа → развёртывание на всех устройствах.

Быстрый чек-лист по ролям

  • Пользователь: сделать резервную копию данных и перезагрузить после включения.
  • Системный администратор: протестировать на контрольной группе, проверить совместимость ПО.
  • Служба поддержки: подготовить план отката и инструкции для пользователей.

Диагностика — простой алгоритм

flowchart TD
  A[Начать] --> B{Параметр доступен в Windows Security?}
  B -- Да --> C[Включить через Windows Security]
  B -- Нет --> D{Доступ к gpedit.msc?}
  D -- Да --> E[Включить через gpedit.msc]
  D -- Нет --> F[Изменить RunAsPPL в реестре]
  C --> G[Перезагрузить и проверить]
  E --> G
  F --> G
  G --> H{Проблемы после перезагрузки?}
  H -- Да --> I[Откат: вернуть RunAsPPL=0 / отменить политику]
  H -- Нет --> J[Готово]

Риски и смягчения

  • Риск: несовместимость с критическим ПО. Смягчение: тестирование и откат.
  • Риск: неправильное редактирование реестра. Смягчение: экспорт ключей и создание точки восстановления.

Локальные особенности и советы для России

  • На лицевых устройствах домашних пользователей чаще доступен GUI-метод через Windows Security.
  • В корпоративных сетях с централизованным управлением предпочтительнее GPO и тестирование на пилотной группе.

Итог

Включение защиты Local Security Authority — эффективный шаг к защите учётных данных в Windows. Выберите способ, который подходит вашей ситуации: GUI для простоты, реестр для автоматизации или GPO для корпоративного развёртывания. Всегда делайте резервную копию и тестируйте изменения.

Краткое резюме:

  • Безопасность учётных данных повышается.
  • Три основных метода: Windows Security, реестр, групповая политика.
  • Обязательное тестирование и резервное копирование перед изменениями.
Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

RDP: полный гид по настройке и безопасности
Инфраструктура

RDP: полный гид по настройке и безопасности

Android как клавиатура и трекпад для Windows
Гайды

Android как клавиатура и трекпад для Windows

Советы и приёмы для работы с PDF
Документы

Советы и приёмы для работы с PDF

Calibration в Lightroom Classic: как и когда использовать
Фото

Calibration в Lightroom Classic: как и когда использовать

Отключить Siri Suggestions на iPhone
iOS

Отключить Siri Suggestions на iPhone

Рисование таблиц в Microsoft Word — руководство
Office

Рисование таблиц в Microsoft Word — руководство