Local Security Authority protection выключен — как восстановить защиту LSA

Кратко: если в Windows Security вы видите «Local Security Authority protection is off. Your device may be vulnerable», это значит, что защита LSA (защищённый процесс, хранящий учётные данные) отключена. Сначала выполните простые шаги: перезагрузка, проверка обновлений, отключение стороннего антивируса, проверка Event Viewer (ID 5004). Если не помогает — проверьте на malware, удалите недавно установленные приложения, восстановите приложение Windows Security, а при необходимости включите LSA через реестр или PowerShell. Ниже — подробный пошаговый план, чек-листы для админа и пользователя, критерии приёмки и рекомендации по защите.

Что означает сообщение и почему это важно

Сообщение «Local Security Authority protection is off. Your device may be vulnerable» указывает, что механизм защиты Local Security Authority (LSA) отключён. Коротко: LSA управляет учётными данными (пароли, токены) и работает в привилегированном пространстве. Защита LSA (также известная как RunAsPPL) помещает LSA в защищённый процесс, затрудняя кражу учётных данных вредоносными процессами.

Важно: если этот механизм отключён, угроза кражи учётных данных и последующего горизонтального перемещения в сети увеличивается.

Изображения

Быстрая последовательность действий (Плейбук)

1. Закройте все приложения и перезагрузите ПК.
2. Откройте Windows Security → Устройство (Device Security) → в разделе Core isolation проверьте переключатель Local Security Authority Protection. Попробуйте выключить и снова включить.
3. Откройте Event Viewer и проверьте журнал LSA на наличие события с ID 5004.
4. Установите все ожидающие обновления Windows и перезагрузите.
5. Проверьте недавно установленные приложения и удалите подозрительные.
6. Выполните полное сканирование антивирусом и удалите обнаруженные угрозы.
7. Если переключатель неактивен, включите защиту LSA через реестр/PowerShell (инструкция ниже).

1. Базовые проверки — всегда начинайте с них

• Закройте все запущенные приложения и выполните перезапуск системы. Множество состояний решаются простой перезагрузкой.
• Откройте Windows Security → Device Security → Local Security Authority Protection и попытайтесь включить переключатель.
• Если переключатель уже включён, выключите его, снова включите и перезагрузите ПК.
• Временно отключите сторонний антивирус/защиту, чтобы исключить конфликт со службой защиты Windows.

Если после этого предупреждение остаётся — переходите к следующим разделам.

2. Убедитесь, что это не ложная тревога

Иногда обновления Windows могут вызвать ложное уведомление, тогда функционал работает, а сообщение ошибочно остаётся. Чтобы проверить это:

1. Откройте Event Viewer (Просмотр событий) и перейдите: Applications and Services Logs > Microsoft > Windows > LSA.
2. Найдите события с ID 5004. Это указывает, что LSA работает под защищённым процессом (RunAsPPL).

Если событие 5004 присутствует и ошибок связанных с LSA нет — вероятно, это ложное предупреждение интерфейса. Если события нет — продолжайте диагностику.

3. Установите все ожидающие обновления Windows

Иногда причина — баг в обновлении Windows (в репортах пользователей это иногда связывали с проблемой на март 2023 г.). Проверьте обновления: Параметры → Обновление и безопасность → Центр обновления Windows. Установите все ожидания и перезагрузите.

Если после обновления проблема появилась, и вы точно знаете, какое обновление её вызвало, можете временно удалить это обновление. Делайте это только в крайнем случае и после создания точки восстановления.

Важно: не оставайтесь на устаревшей версии ОС надолго — обновления часто содержат исправления безопасности.

4. Удалите недавно установленные сторонние приложения

Если ошибка появилась сразу после установки сторонней программы (особенно из ненадёжного источника), удалите её.

• Откройте Параметры → Приложения → Установленные приложения.
• Отсортируйте по Дате установки и удалите недавно добавленные программы.

Проверяйте подозрительные приложения и утилиты, которые могли понизить безопасность системы или установить собственные драйверы.

5. Восстановите или сбросьте приложение Windows Security

Иногда само приложение Windows Security работает некорректно: сброс и восстановление могут удалить повреждённые настройки.

• Откройте Параметры → Приложения → Приложения и функции → Windows Security → Дополнительные параметры.
• Используйте опции «Восстановить» и если не помогло — «Сбросить».

Сброс вернёт приложение в исходное состояние, что безопасно, но вернёт все настройки в дефолт.

6. Проверьте систему на наличие вредоносных программ

Если malware отключило LSA, это серьёзно. Запустите полное сканирование с последними сигнатурами.

• Используйте Windows Defender Offline или проверенные антивирусные сканеры.
• При обнаружении угроз — следуйте рекомендациям по удалению. После устранения угроз перезагрузите и проверьте состояние LSA.

Важно: если подозрительное ПО присутствовало в системе, смените пароли и включите многофакторную аутентификацию на ключевых сервисах после очистки.

7. Альтернативные способы включить защиту LSA

Если переключатель в Windows Security неактивен, можно включить защиту через реестр или PowerShell. Прежде чем менять реестр — создайте его резервную копию и точку восстановления.

Путь в реестре и значение, подтверждённое множеством официальных и экспертных материалов:

• Ключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
• Параметр: RunAsPPL
• Тип: DWORD (32-bit)
• Значение: 1 — включено; 0 — выключено

PowerShell (запуск от имени администратора):

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 1 -Type DWord

После изменения реестра перезагрузите компьютер. Если надо отменить — установите значение 0.

Примечание: в средах с групповыми политиками (AD) администратор может контролировать этот параметр централизованно; в таком случае локальные изменения будут перезаписаны.

Когда включение через реестр не помогает — возможные причины

• Параметр принудительно отключён групповыми политиками домена.
• Конфликтующие драйверы или старые драйверы виртуализации не дают корректно работать защищённому процессу.
• В BIOS отключены функции виртуализации (Intel VT-x/AMD-V) или Secure Boot/TPM, необходимых для работы VBS (Virtualization-Based Security).
• Система заражена вредоносом, который блокирует изменение настроек.

В таких случаях потребуется более глубокая проверка: просмотрите групповые политики, обновите драйверы, включите виртуализацию в BIOS/UEFI и устраните malware.

Ментальные модели и эвристики для диагностики

• Сначала «простое —> сложное»: перезагрузка и обновления, затем проверка приложений, затем реестр/политики.
• Подозрения на malware — если проблема появилась внезапно и сразу после установки неизвестного ПО.
• Если на машине корпоративная настройка — сначала свяжитесь с IT/администратором (возможна централизованная политика).

Чек-листы по ролям

Администратор IT:

• Проверить групповые политики (GPO) в домене на предмет управления LSA.
• Проверить Event Viewer на нескольких машинах и на контроллере домена.
• Проверить совместимость драйверов виртуализации и обновить их.
• Выполнить централизованное включение через GPO/MDM или скрипты управления конфигурацией.

Домашний пользователь:

• Перезагрузить, обновить Windows и драйверы.
• Удалить недавно установленные приложения.
• Полностью просканировать систему антивирусом и Windows Defender Offline.
• Включить RunAsPPL в реестре при необходимости и перезагрузить.

Служба поддержки/инцидент-респонс:

• Сбор артефактов: экспорт раздела журнала LSA, дампы процессов, список установленных приложений, образ системы.
• Выполнение оффлайн-сканирования и, при подозрении на скомпрометированность, изоляция машины от сети.

Критерии приёмки (тесты/acceptance)

1. После включения RunAsPPL через интерфейс или реестр событие с ID 5004 появляется в Event Viewer.
2. В приложении Windows Security исчезло предупреждение «Local Security Authority protection is off».
3. После перезагрузки значение остаётся включённым.
4. Нет обнаруженных угроз по результатам полного антивирусного сканирования.
5. Для корпоративных машин — параметр не конфликтует с GPO и не перезаписывается нежелательно.

Факто-бокс: что знать в кратком виде

• Что защищает: учётные данные и процессы, работающие в привилегированном пространстве.
• Где включить: Windows Security (Device Security → Local Security Authority Protection) или реестр RunAsPPL.
• Крит. зависимости: виртуализация, Secure Boot/TPM, совместимые драйверы.
• Риск, если выключено: повышенная вероятность кражи учётных данных злоумышленниками.

Безопасное восстановление — пошаговая методика (мини-методология)

1. Снимите копии важных данных и создайте точку восстановления.
2. Перезагрузите и попробуйте включить LSA в Windows Security.
3. Проверьте события (ID 5004).
4. Установите обновления и обновите драйверы.
5. Сканируйте на malware и удалите вредоносные программы.
6. Если переключатель неактивен — примените изменение реестра (RunAsPPL=1) и перезагрузите.
7. При корпоративном использовании — согласуйте изменения с IT и проверьте GPO.

Рекомендации по усилению безопасности (hardening)

• Включите Secure Boot и TPM, если они доступны в вашей системе.
• Включите функции виртуализации в BIOS/UEFI (Intel VT-x / AMD-V).
• Поддерживайте актуальность драйверов виртуализации (например, Hyper-V, виртуальные сетевые драйверы).
• Включите Core isolation → Memory integrity (если совместимо с драйверами).
• Внедрите многофакторную аутентификацию (MFA) для всех критичных аккаунтов.

Приватность и защита данных пользователей

LSA работает с учётными данными пользователей. Если защита LSA была отключена злоумышленником — выполните следующие шаги:

• После очистки машины смените пароли доменных и локальных учётных записей.
• Включите MFA для учётных записей, поддерживающих это.
• Проверьте журналы входа и подозрительную активность в учётных записях.

Эти шаги помогут снизить последствия возможной компрометации.

Когда это исправление не сработает — варианты альтернатив

• Если параметр централизованно отключён администратором домена — обращайтесь в IT.
• Если аппаратная платформа не поддерживает VBS/защищённые процессы, LSA protection может быть недоступна.
• Если имеются несовместимые драйверы, их нужно обновить или удалить.

Диагностическое дерево (Mermaid)

flowchart TD
  A[Появилось предупреждение LSA отключён] --> B{Перезагрузка помогла?}
  B -- Да --> C[Убедиться, что событий ID 5004 нет или есть]
  B -- Нет --> D{Switch активен в Windows Security?}
  D -- Да --> E[Проверить Event Viewer, Malware scan]
  D -- Нет --> F[Попробовать включить в реестре RunAsPPL]
  F --> G{После реестра перезагрузка решает проблему?}
  G -- Да --> H[Готово]
  G -- Нет --> I[Проверить GPO, BIOS, драйверы, обратиться в IT]

Шаблон уведомления/короткого объявления для команды (100–200 слов)

Коротко: мы обнаружили предупреждение «Local Security Authority protection is off» на некоторых устройствах. Это означает, что механизм защиты учётных данных LSA отключён. Просьба всем пользователям: перезагрузите ПК, установите обновления Windows и выполните полное антивирусное сканирование. Если предупреждение сохраняется — отправьте тикет в IT с указанием имени устройства. Администраторам: проверьте GPO, журналы LSA (ID 5004) и централизованно восстановите параметр RunAsPPL при необходимости.

Короткая памятка (на одну строку)

Если LSA отключён — сначала перезагрузите и обновите, затем проверьте malware и только после этого меняйте реестр RunAsPPL с резервной копией.

Глоссарий (одна строка на термин)

• LSA: Local Security Authority — компонент Windows, работающий с учётными данными.
• RunAsPPL: флаг в реестре, включающий защищённый процесс LSA.
• VBS: Virtualization-Based Security — технологии безопасности, использующие виртуализацию.

Итог и рекомендации

Повтор основных шагов: перезагрузка → обновления → проверка Event Viewer (ID 5004) → удаление подозрительных приложений → сканирование на malware → восстановление/сброс Windows Security → при необходимости включение RunAsPPL через реестр.

Важно: если вы в корпоративной сети, взаимодействуйте с IT. Если система могла быть скомпрометирована, после очистки измените пароли и включите MFA. Эти меры помогут вернуть и удержать защиту LSA, снизив риск кражи учётных данных.