Formas sencillas de habilitar o deshabilitar la autoridad de seguridad local (LSA) en Windows 11

Windows 11 admite la autoridad de seguridad local (LSA) para evitar que los atacantes obtengan acceso no autorizado a su sistema.

La autoridad de seguridad local (LSA) es un componente esencial en el sistema operativo Windows que es responsable de la administración de seguridad y autenticidad a nivel local. Los LSA almacenan información de seguridad importante, como políticas de seguridad, datos de cuentas de usuario y credenciales.

El servicio de subsistema de autoridad de seguridad local (LSASS) es un proceso de Windows que se ejecuta en el nivel del sistema y es responsable de autenticar a los usuarios que intentan iniciar sesión en el sistema, administrar tokens de seguridad y aplicar directivas de seguridad. LSASS sirve para garantizar que los usuarios autenticados tengan los derechos de acceso adecuados.

Credential Guard es una característica de seguridad introducida por Microsoft en Windows 10 y Windows Server 2016. Está diseñado para proteger las credenciales almacenándolas en un entorno aislado al que no puede acceder el malware o los procesos que se ejecutan en el sistema principal. Mediante el uso de tecnologías como Virtualization Based Security (VBS) y Secure Kernel Mode (SKM), Credential Guard ayuda a proteger las credenciales de ataques dirigidos al almacenamiento de credenciales.

Kerberos es un protocolo de seguridad de red usado por Windows para autenticar usuarios y recursos en una red segura. Kerberos funciona con LSA para permitir o denegar el acceso a los recursos en función de una autenticación válida.

El Administrador de cuentas de seguridad (SAM) es una base de datos que almacena información de cuentas de usuario locales en sistemas Windows. Esto incluye hashes de contraseñas de usuario, grupos de seguridad locales y otras configuraciones de seguridad. Los LSA interactúan con el SAM para autenticar usuarios y administrar cuentas de usuario locales.

Cómo habilitar o deshabilitar la autoridad de seguridad local (LSA) en Windows

1] Habilitar o deshabilitar el Editor de directivas de grupo local

Realizar cambios en el Editor de directivas de grupo local puede afectar a la configuración del sistema. Asegúrese de saber exactamente lo que está haciendo y haga una copia de seguridad de los datos importantes antes de editar la configuración de directivas.

Para habilitar la protección LSA mediante el Editor de directivas de grupo local en Windows, siga estos pasos:

1. Abra el “Local Group Policy Editor” :
   • Pulse (WIN + R) para abrir la ventana “Run”.
   • Escriba “gpedit.msc” (sin comillas) y presione Entrar. Esto abrirá el Editor de directivas de grupo local.
2. Vaya a Configuración de protección LSA:
   • En la ventana Editor de directivas de grupo local, navegue hasta “Computer Configuration > Administrative Templates > System > Local Security Authority”.
3. Habilite la protección LSA:
   • Busque una entrada llamada “Configure LSASS to run as a protected process”.
   • Haga doble clic en la entrada para abrirla.
4. Seleccione Configuración:
   • Seleccione la opción “Enabled” para habilitar la protección LSA.
   • A continuación, seleccione la opción “Enabled with UEFI Lock”.
   • Haga clic en “OK” para guardar los cambios.
5. Reanudar:
   • Después de habilitar la protección LSA, es posible que deba reiniciar el equipo para que los cambios surtan efecto.

Una vez que se sigan correctamente los pasos anteriores, la protección LSA se habilitará en su sistema.

2] Habilitar o deshabilitar LSA a través del Registro

Si desea habilitar la protección LSA a través del Editor del Registro en Windows, siga estos pasos cuidadosamente. Tenga en cuenta que editar el registro puede tener un impacto en la estabilidad del sistema, así que asegúrese de seguir estos pasos correctamente y asegúrese de hacer una copia de seguridad del registro antes de continuar.

1. Pulse (WIN + R) para abrir la ventana “Run”.
2. Escriba “regedit” (sin comillas) y pulse Intro. Esto abrirá el Editor del Registro.
3. En el Editor del Registro, navegue a la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

4. En el lado derecho de la ventana del Editor del Registro, busque el valor del Registro con el nombre “RunAsPPL”. Si este valor no existe, debe crearlo.
5. Para crear un nuevo valor de “RunAsPPL”, haga clic con el botón secundario en un área vacía en el lado derecho de la ventana, seleccione “New” y, a continuación, seleccione “DWORD (32-bit) Value”.
6. Asigne al nuevo valor DWORD el nombre “RunAsPPL”.
7. Haga doble clic en el valor “RunAsPPL” recién creado y establezca los datos del valor en 1.
8. Haga clic en “OK” para guardar los cambios.
9. Cierre el Editor del Registro.