Ошибка LSA: «this change requires you to restart your device»

Человек использует устройство с Windows, положив его на колени

Краткое описание проблемы

Защита LSA (Local Security Authority) предотвращает несанкционированный доступ к критичным системным ресурсам, включая хэш‑пароли и другие секреты. Сообщение «this change requires you to restart your device» появляется при попытке Windows включить LSA Protection, но операция не завершается корректно. Часто ошибка сохраняется даже после перезапуска.

Кратко, наиболее вероятные причины:

Повреждение системных файлов (например, из‑за некорректного обновления или удаления файлов антивирусом).
Активность вредоносного ПО, установившего вредоносные службы или мешающего запуску защищённого процесса LSASS.
Неправильная конфигурация групповой политики или реестра.
Конфликт сторонних средств безопасности.

Важно: перед выполнением изменений в реестре или политике сделайте резервную копию системы или создайте точку восстановления.

Что вы получите из этой инструкции

Пошаговые решения для Windows Home, Pro и Enterprise.
Безопасные команды для проверки целостности системы и образа.
Как безопасно изменить реестр и настройки групповой политики.
Чеклист и playbook для системных администраторов.

Когда это сработает и когда нет

Когда сработает:

Проблема связана с неправильными значениями реестра или политикой.
Антивирус неправильно удалил/заблокировал файлы, восстановление их решит проблему.

Когда не сработает:

Если LSASS уже модифицирован или заражён вредоносным кодом — может потребоваться восстановление образа Windows или переустановка.
Если аппаратные проблемы с диском повреждают файлы — сначала восстановите диск.

1. Первые действия — перезагрузка и запуск в безопасном режиме

Перезагрузите систему обычным способом. Часто простая перезагрузка устраняет временные блокировки.
Если ошибка остаётся, перезагрузитесь в безопасном режиме (Safe Mode): нажмите Win + R → введите msconfig → вкладка Загрузка → отметьте Безопасный режим. Перезагрузитесь.
В безопасном режиме повторите основные проверки (сканирование антивирусом, просмотр журналов).

Важно: в безопасном режиме многие сторонние службы не запускаются, что позволяет локализовать причину.

2. Сканирование на вредоносные программы

Вредоносные программы часто вмешиваются в работу LSA. Выполните полное сканирование штатными средствами и дополнительными многообразными антивирусами.

Шаги для быстрого полного сканирования стандартным приложением Windows Security:

Нажмите Win + Q и введите Windows Security, нажмите Enter.
На левой панели выберите вкладку Virus & threat protection.
Нажмите Scan options.
Выберите Full scan и нажмите Scan now.

Если обнаружены угрозы — удалите или поместите в карантин. После этого перезагрузите ПК и проверьте проблему снова.

Советы:

Если у вас сторонний антивирус, временно отключите его или выполните сканирование с загрузочного носителя ремувал-утилит.
Запустите дополнительное сканирование Malwarebytes или похожим инструментом.

3. Проверка целостности системы: SFC и DISM

Выполните следующие команды в окне PowerShell или командной строки с правами администратора.

Откройте PowerShell от имени администратора: нажмите Win, введите PowerShell, правый клик → Запуск от имени администратора.
Выполните проверку системных файлов:

sfc /scannow

Подождите. SFC попытается восстановить повреждённые системные файлы.

Если SFC не исправил все ошибки, выполните восстановление образа:

DISM /Online /Cleanup-Image /RestoreHealth

После завершения DISM снова выполните sfc /scannow.

Примечание: эти операции могут занять 10–60 минут в зависимости от состояния системы.

4. Изменение настроек групповой политики (Windows Pro/Enterprise)

Если у вас Windows 11 Pro или Enterprise, используйте Local Group Policy Editor. В Home этот инструмент недоступен по умолчанию.

Шаги:

Нажмите Win + R, введите gpedit.msc и нажмите Enter.
Перейдите:

Administrative Templates > System > Local Security Authority

В правой панели найдите и дважды щёлкните

Configure LSASS to run as a protected process. Изменение политики группы

Установите значение с Not Configured на Enabled.
В параметрах выберите опцию Enabled with UEFI Lock.
Нажмите Apply → OK и перезагрузите компьютер.

Если ошибка исчезла — проверьте журналы событий (Event Viewer) на наличие сообщений, связанных с LSASS, чтобы подтвердить устойчивость решения.

Важно: изменение политики с UEFI Lock делает настройку защищённой от изменений — убедитесь, что вы действительно хотите заклокировать параметр.

5. Правка реестра (Windows Home и при отсутствии gpedit)

Если gpedit недоступен, можно изменить ключи реестра. Перед началом — создайте резервную копию реестра или точку восстановления.

Путь в реестре:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Шаги:

Нажмите Win + R → regedit → Enter. Подтвердите UAC при запросе.
Перейдите по указанному пути.
В правой панели найдите параметр RunAsPPL. Дважды щёлкните и установите значение 2.
Аналогично создайте/измените RunAsPPLBoot и установите значение 2.

Если ключей нет — создайте: правый клик по папке Lsa → New → DWORD (32‑bit) Value → имя RunAsPPL → значение 2. Повторите для RunAsPPLBoot.

После изменений закройте regedit и перезагрузите ПК.

Советы по безопасности:

Делайте экспорт ветки Lsa перед изменением: Файл → Экспорт → сохраните .reg.
Если после перезагрузки система не загружается, загрузитесь в среду восстановления (WinRE) и импортируйте сохранённый .reg или используйте точку восстановления.

6. Сброс приложения Windows Security

Если причина в корректной работе встроенного приложения безопасности, попробуйте сброс его настроек.

Шаги:

Нажмите Win + I → Откроется Параметры.
Выберите Apps → Installed apps.
Найдите Windows Security, нажмите три точки → Advanced options.
В разделе Reset нажмите Reset.
Подтвердите и дождитесь завершения, затем перезагрузите компьютер.

После сброса повторно выполните полное сканирование (см. раздел 2).

7. Общие исправления и обновления

Установите все доступные обновления Windows через Параметры → Windows Update.
Обновите драйверы, особенно драйверы контроллера диска и чипсета.
Выполните чистую загрузку (clean boot), чтобы исключить влияние сторонних служб: msconfig → Services → Hide all Microsoft services → Disable all → Startup → Open Task Manager → disable nonessential startup items → restart.

Если ошибка исчезла в чистой загрузке — постепенно включайте службы/программы, чтобы найти конфликтное ПО.

8. Дополнительные шаги для корпоративной среды

Проверьте групповые политики, применяемые через домен (GPO). Изменения локальной политики могут быть перезаписаны GPO из Active Directory.
Проверьте журналы центра управления безопасностью и централизованные EDR-системы (например, Microsoft Defender for Endpoint, Sentinel и т. п.).
Если LSASS был модифицирован, запустите форензическую проверку образа и рассмотрите восстановление с проверенного образа ОС.

Мини‑методология для устранения — «DETECT → ISOLATE → FIX → VERIFY»

DETECT: соберите симптомы, логи события, снимок процессов (Process Explorer), сигнатуры антивируса.
ISOLATE: загрузитесь в безопасном режиме или выполните clean boot.
FIX: SFC/DISM, рестарт, исправление реестра/политики, удаление вредоносного ПО.
VERIFY: перезагрузка, проверка Event Viewer, повторное сканирование, тесты SSO/аутентификации.

Playbook / SOP — быстрая инструкция для администратора (шаги в порядке выполнения)

Подготовка: убедитесь, что есть доступ в среду восстановления и резервные копии.
Перезагрузка и безопасный режим. Если OK — наблюдайте 24 часа.
Полное сканирование Windows Security + сторонний антивирус.
Запуск SFC и DISM. Если ошибки исправлены — перезагрузка.
Если не помогло, проверьте/восстановите реестр (RunAsPPL и RunAsPPLBoot = 2).
Примените политику через gpedit (Pro/Enterprise) — Configure LSASS to run as a protected process → Enabled with UEFI Lock.
Сброс Windows Security, обновление Windows и драйверов.
Если ошибка не устраняется — восстановление из резервной копии или переустановка ОС.

Критерии приёмки

Система загружается без ошибок.
При включении защите LSA нет сообщений «this change requires you to restart your device» после перезагрузки.
Журналы Event Viewer не содержат критических ошибок LSASS.
Выполнено повторное полное сканирование — угроз не обнаружено.

Чеклист по ролям

Администратор (корпоративный):

Собраны логи и снимки процессов.
Проверены GPO и репликация AD.
Применён playbook и выполнен rollback план.

Пользователь (домашний):

Создана точка восстановления.
Выполнено сканирование и SFC/DISM.
Изменения реестра задокументированы и экспортированы.

Техническая поддержка:

Проверены журналы и предоставлены рекомендации по откату.
Рекомендовано восстановление образа, если LSASS модифицирован.

Decision tree (упрощённая) — когда применять каждый метод

flowchart TD
  A[Появилась ошибка LSA] --> B{Перезагрузка устранила проблему?}
  B -- Да --> Z[Наблюдение 24 часа]
  B -- Нет --> C{Найдено вредоносное ПО?}
  C -- Да --> D[Изолировать, удалить, SFC/DISM]
  C -- Нет --> E{Windows Pro/Enterprise?}
  E -- Да --> F[Изменить gpedit: Configure LSASS -> Enabled with UEFI Lock]
  E -- Нет --> G[Изменить реестр RunAsPPL и RunAsPPLBoot = 2]
  F --> H[Перезагрузка и проверка]
  G --> H
  D --> H
  H --> I{Ошибка устранена?}
  I -- Да --> Z
  I -- Нет --> J[Восстановление образа или переустановка]

Тесты и критерии приёмки (Test cases)

Тест: перезагрузка после изменения реестра. Ожидаемое: система загружается без ошибки.
Тест: полное сканирование Windows Security. Ожидаемое: угрозы удалены/в карантине.
Тест: проверка учётной записи и входа в систему (SSO). Ожидаемое: аутентификация проходит корректно.
Тест: проверка Event Viewer на ошибки LSASS. Ожидаемое: отсутствуют критические записи.

Риск‑матрица и смягчение рисков

Риск: неверные правки реестра → Снижение: экспорт ветки реестра, точка восстановления.
Риск: активация UEFI Lock, блокирующая изменения → Снижение: документировать необходимость и уведомить администраторов.
Риск: неочищенное вредоносное ПО → Снижение: использовать несколько сканеров и, при необходимости, восстановление образа.

Когда нужно делать восстановление или переустановку

LSASS модифицирован вредоносным кодом и представляет риск безопасности.
SFC/DISM не восстанавливают ключевые файлы.
Отсутствует корректный бекап — в этом случае создайте доверенный образ и переустановите ОС.

Местные особенности и советы для пользователей в России

Если используете локализованную версию Windows, названия настроек в gpedit могут быть переведены. В документации приведены английские UI‑строки, используйте поиск по ключевым словам в локализованном интерфейсе.
Провайдеры антивирусов и EDR в корпоративной среде часто имеют локальные правила и уведомления — согласуйте изменения с службой безопасности.

Короткое объявление для сотрудников (100–200 слов)

Если при включении защиты LSA вы видите сообщение «this change requires you to restart your device», не паникуйте. Сначала перезагрузите компьютер и выполните полное сканирование Windows Security. Если проблема сохраняется, администратор должен проверить целостность системы с помощью sfc /scannow и DISM, а также убедиться, что параметры групповой политики или реестра правильны (RunAsPPL и RunAsPPLBoot = 2, или включение «Configure LSASS to run as a protected process» с UEFI Lock). Всегда создавайте точку восстановления перед изменением реестра и документируйте изменения. При признаках сложной инфекции рассмотрите восстановление системы из проверенного образа.

Краткое резюме

Local Security Authority — критичная защита, и сообщение «this change requires you to restart your device» сигнализирует о том, что включение защищённого процесса LSASS прошло не полностью. Систематический подход — перезагрузка, сканирование, SFC/DISM, правки gpedit/regedit и сброс Windows Security — в большинстве случаев восстанавливает работу LSA. Если проблема сохраняется, используйте восстановление образа или переустановку.

Индикация изменения значений RunAsPPL

Важно: всегда сохраняйте экспорт реестра и создавайте точки восстановления перед изменениями.

Полезные ссылки и команды (шпаргалка)

Окно запуска: Win + R
Открыть редактор групповой политики: gpedit.msc
Открыть редактор реестра: regedit
SFC: sfc /scannow
DISM: DISM /Online /Cleanup-Image /RestoreHealth

Сброс приложения Безопасность Windows отображается в параметрах приложений

Если после выполнения всех шагов проблема не устранена, рекомендую связаться с корпоративной службой безопасности или перейти к восстановлению системы из заведомо чистого образа.