Включение защиты Local Security Authority (LSA) в Windows

Важно: изменение настроек безопасности и реестра требует прав администратора. Если вы не уверены — обратитесь к системному администратору.

О чём эта статья

Это пошаговое руководство объясняет, как снова включить защиту Local Security Authority (LSA) в Windows, если она отключилась и в Центре безопасности Windows не отображается как включённая. Вы получите три метода включения (PowerShell, Редактор локальной групповой политики, Редактор реестра), тесты проверки, план отката и контрольный список администратора.

Ключевые варианты использования: восстановление защиты LSA на персональном компьютере, сервере или рабочей станции после вмешательства ПО или ошибочных настроек.

Базовая диагностика (перед изменением настроек)

Перед применением любых исправлений выполните следующие базовые проверки. Многие проблемы оказываются следствием вредоносного ПО, повреждённых системных файлов или недавно установленных программ.

• Выполните сканирование на вредоносное ПО: запустите встроенный Защитник Windows (Windows Security) или надёжный антивирус третьей стороны. Обновите сигнатуры перед сканированием.
• Запустите проверку системных файлов (SFC): откройте терминал от администратора и выполните sfc /scannow, чтобы обнаружить и восстановить повреждённые системные файлы.
• Воспользуйтесь точкой восстановления системы: если вы регулярно создаёте точки восстановления, верните систему в состояние до появления ошибки.

Примечание: если Центр безопасности Windows не открывается, сначала устраните эту проблему — инструкции доступны отдельно.

1. Включение защиты LSA через PowerShell (быстро)

Этот метод самый быстрый — выполняется одной командой. Требуются права администратора.

1. Нажмите Win + X и выберите “Терминал (администратор)” (Terminal (Admin)).

2. Вставьте и выполните команду в вкладке PowerShell (или PowerShell Core):

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 2/f;reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPLBoot /t REG_DWORD /d 2/f

3. Перезагрузите компьютер и проверьте, исчезло ли сообщение об угрозе.

Подсказка: пользователям Windows Home может потребоваться сначала включить локальный редактор групповой политики (LGPE), если он нужен для других проверок.

2. Включение защиты LSA через Редактор локальной групповой политики (LGPE)

Этот метод удобен на Windows Pro/Enterprise/Education, где доступен локальный редактор групповой политики.

1. Нажмите Поиск на панели задач, введите «group policy» или «редактор групповой политики», и выберите «Изменить групповую политику» (Edit group policy).

2. В LGPE перейдите: Конфигурация компьютера -> Административные шаблоны -> Система -> Local Security Authority.

3. Дважды щёлкните политику «Configure LSASS to run as a protected process» (Настроить запуск LSASS как защищённого процесса).

4. Если стоит «Disabled» (Отключено), переключите в «Not Configured» (Не задано) или «Enabled» по инструкции вашей организации. Нажмите OK и перезагрузите.

Примечание: в корпоративной среде придерживайтесь политики безопасности организации — включение защищённого режима LSASS может потребовать согласования.

3. Включение защиты LSA через Редактор реестра (Registry Editor)

Редактирование реестра — сильный инструмент. Обязательно создайте резервную копию реестра (Экспорт ключа Lsa) перед изменениями.

1. Нажмите Поиск, введите “registry editor” или «редактор реестра», и откройте «Registry Editor».

2. При появлении запроса контроля учётных записей (UAC) нажмите «Да».

3. Перейдите к ключу:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

4. Найдите значение RunAsPPL. Если его нет — создайте: ПКМ по ветке Lsa -> New -> DWORD (32-bit) Value и назовите RunAsPPL.

5. Дважды щёлкните RunAsPPL и установите “Value data” = 2. При необходимости создайте также RunAsPPLBoot и установите 2.

6. Перезагрузите ПК и проверьте результат.

Совет по откату: чтобы вернуть исходное состояние, удалите созданные DWORD-значения или установите их значение в 0, затем перезагрузите.

Проверка: как убедиться, что защита LSA включена

Если опция не отображается в Центре безопасности, используйте Просмотр событий (Event Viewer):

1. Откройте Event Viewer.
2. Перейдите в Windows Logs -> System.
3. Найдите событие с ID 12. Открыв его, вы увидите сообщение «LSASS.exe was started as a protected process with level: 4» — это подтверждение того, что LSASS запущен как защищённый процесс.

Дополнительная диагностика: плагины и драйверы, не запущенные как защищённые процессы

Когда Windows работает в режиме аудита, информация о том, какие модули не смогли запуститься как защищённые процессы, появляется в журнале CodeIntegrity:

• Откройте Event Viewer.
• Перейдите: Applications and Services Logs -> Microsoft -> Windows -> CodeIntegrity.
• Ищите события с ID 3065 или 3066 — они укажут плагины или драйверы, не ставшиеся LSA-защищёнными.

Как включить режим аудита (Audit Mode)

Если у вас Windows 11 22H2 — режим аудита включён по умолчанию. Для других версий можно включить параметр AuditLevel в реестре:

1. Откройте редактор реестра и перейдите к ключу:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe

2. Дважды щёлкните значение AuditLevel и установите Value data = 8, затем нажмите OK.

Полезные сниппеты и шпаргалка (cheat sheet)

• Команда PowerShell (выполнить от имени администратора):

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 2/f;reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPLBoot /t REG_DWORD /d 2/f

• Проверка события включения LSA: Event Viewer -> Windows Logs -> System -> Event ID 12.
• Журнал проблем с загрузкой модулей: Applications and Services Logs -> Microsoft -> Windows -> CodeIntegrity -> Event ID 3065/3066.

Роль-based контрольный список (администратор / пользователь)

Администратору IT:

• Сделать резервную копию реестра и системной конфигурации.
• Проверить совместимость драйверов и плагинов с защищённым режимом LSASS.
• Уведомить пользователей о перезагрузке и о возможных временных ограничениях сервисов.

Пользователю (домашнему):

• Запустить антивирусное сканирование.
• Сделать точку восстановления системы (если доступно).
• Следовать инструкции по PowerShell или реестру и перезагрузить ПК.

План отката / инцидентный runbook

1. Если после включения защиты возникают сбои приложений или BSOD, немедленно перезагрузите в безопасном режиме.
2. В безопасном режиме откатите изменения:
   • Откройте regedit и перейдите в Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
   • Установите RunAsPPL и RunAsPPLBoot в 0 или удалите эти значения.
3. Перезагрузите и проверьте стабильность системы.
4. Если аппаратные или критические службы не запускаются — восстановите систему из точки восстановления или обратитесь к специалистам.

Важно: всегда держите резервные копии и план связи с пользователями на случай вмешательства в инфраструктуру.

Критерии приёмки

• После перезагрузки в журнале System появился Event ID 12 с сообщением о запуске LSASS как защищённого процесса.
• В Центре безопасности Windows больше не отображается предупреждение «Local Security Authority protection is off».
• Критические приложения и драйверы продолжают корректно работать (проверить основные сценарии).

Когда эти методы не работают (контрпримеры)

• Если ключи реестра регулярно откатываются политиками централизованного управления (GPO) — необходимо изменить настройки на уровне контроллера домена.
• Если вредоносное ПО вмешивается и блокирует изменение ключей — сначала нужно очистить систему антивирусом и повторить попытку.
• На неподдерживаемых старых сборках Windows или в сильно кастомизированных корпоративных образах поведение может отличаться; согласуйте с отделом безопасности.

Краткая памятка по безопасности

• Никогда не применяйте команды и правки реестра из непроверенных источников.
• Перед изменениями создавайте резервные копии и точки восстановления.
• В корпоративной среде согласуйте изменения с политиками безопасности и ответственными командами.

Быстрая таблица ключевой информации

• Основной реестр: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
• Значения: RunAsPPL = 2, RunAsPPLBoot = 2
• Подтверждение в журнале: Event ID 12
• Журнал проблем модулей: CodeIntegrity -> Event ID 3065/3066

Глоссарий (в одну строку)

• LSA: Local Security Authority — подсистема Windows, отвечающая за проверку учётных данных и управление безопасностью локальной учётной записи.
• LSASS: Local Security Authority Subsystem Service — процесс, реализующий LSA; при защите запускается как защищённый процесс.
• RunAsPPL: параметр реестра, включающий запуск LSASS как PPL (Protected Process Light).

Часто задаваемые вопросы

Как проверить, что я успешно включил LSA, если Центр безопасности не показывает опцию?

Проверьте журнал System в Просмотре событий и найдите Event ID 12 с сообщением о запуске LSASS.exe как защищённого процесса с уровнем 4.

Что делать, если плагины или драйверы не запускаются как защищённые процессы?

Ищите события 3065/3066 в журнале CodeIntegrity, обновите драйверы/плагины до последних версий или свяжитесь с поставщиком ПО для совместимых сборок.

Как безопасно откатить изменения в реестре?

Удалите созданные значения RunAsPPL и RunAsPPLBoot или установите их значение в 0, затем перезагрузите систему.

Источник изображений: DepositPhotos. Скриншоты: Chifundo Kasiya.

Итог

Включение защиты LSA восстанавливает запуск LSASS как защищённого процесса и устраняет сообщение об уязвимости. Начните с проверки системы на вредоносное ПО, затем применяйте метод через PowerShell (быстро), LGPE (если доступен) или реестр (если нужно вручную). Всегда делайте резервные копии и имейте план отката.