Maneiras fáceis de ativar ou desativar a autoridade de segurança local (LSA) no Windows 11

O Windows 11 oferece suporte à Autoridade de Segurança Local (LSA) para evitar que invasores obtenham acesso não autorizado ao seu sistema.

A Autoridade de Segurança Local (LSA) é um componente essencial do sistema operacional Windows, responsável pelo gerenciamento de segurança e autenticidade em nível local. As LSAs armazenam informações de segurança importantes, como políticas de segurança, dados de contas de usuário e credenciais.

O LSASS (Local Security Authority Subsystem Service) é um processo do Windows executado no nível do sistema e responsável pela autenticação de usuários que tentam fazer login no sistema, pelo gerenciamento de tokens de segurança e pela aplicação de políticas de segurança. O LSASS serve para garantir que os usuários autenticados tenham os direitos de acesso adequados.

O Credential Guard é um recurso de segurança introduzido pela Microsoft no Windows 10 e no Windows Server 2016. Ele foi projetado para proteger as credenciais, armazenando-as em um ambiente isolado que não pode ser acessado por malware ou processos em execução no sistema primário. Usando tecnologias como VBS (Virtualization Based Security, segurança baseada em virtualização) e SKM (Secure Kernel Mode, modo de kernel seguro), o Credential Guard ajuda a proteger as credenciais contra ataques direcionados ao armazenamento de credenciais.

O Kerberos é um protocolo de segurança de rede usado pelo Windows para autenticar usuários e recursos em uma rede segura. O Kerberos trabalha com LSAs para permitir ou negar acesso a recursos com base em uma autenticação válida.

O Security Accounts Manager (SAM) é um banco de dados que armazena informações de contas de usuários locais em sistemas Windows. Isso inclui hashes de senhas de usuários, grupos de segurança locais e outras configurações de segurança. Os LSAs interagem com o SAM para autenticar usuários e gerenciar contas de usuários locais.

Como ativar ou desativar a autoridade de segurança local (LSA) no Windows

1] Ativar ou desativar o Editor de Política de Grupo Local

Fazer alterações no Editor de Diretiva de Grupo Local pode afetar a configuração de seu sistema. Certifique-se de saber exatamente o que está fazendo e faça backup de dados importantes antes de editar as configurações de política.

Para ativar a Proteção LSA usando o Editor de Política de Grupo Local no Windows, siga estas etapas:

1. Abra o “Local Group Policy Editor”:
   • Pressione (WIN + R) para abrir a janela “Run”.
   • Digite “gpedit.msc” (sem aspas) e pressione Enter. Isso abrirá o Editor de Política de Grupo Local.
2. Navegue até Configurações de proteção LSA:
   • Na janela Local Group Policy Editor, navegue até “Computer Configuration > Administrative Templates > System > Local Security Authority”.
3. Ativar a proteção LSA:
   • Procure uma entrada chamada “Configure LSASS to run as a protected process”.
   • Clique duas vezes na entrada para abri-la.
4. Selecione Configurações:
   • Selecione a opção “Enabled” para ativar a proteção LSA.
   • Em seguida, selecione a opção “Enabled with UEFI Lock”.
   • Clique em “OK” para salvar as alterações.
5. Reiniciar:
   • Depois de ativar a proteção LSA, talvez seja necessário reiniciar o computador para que as alterações tenham efeito.

Quando as etapas acima forem seguidas corretamente, a proteção LSA será ativada em seu sistema.

2] Ativar ou desativar o LSA por meio do registro

Se quiser ativar a proteção LSA por meio do Editor do Registro no Windows, siga estas etapas cuidadosamente. Lembre-se de que a edição do registro pode afetar a estabilidade do sistema, portanto, siga essas etapas corretamente e faça backup do registro antes de continuar.

1. Pressione (WIN + R) para abrir a janela “Run”.
2. Digite “regedit” (sem aspas) e pressione Enter. Isso abrirá o Editor do Registro.
3. No Editor do registro, navegue até a seguinte chave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

4. No lado direito da janela do Editor do Registro, localize o valor do registro com o nome “RunAsPPL”. Se esse valor não existir, você precisará criá-lo.
5. Para criar um novo valor “RunAsPPL”, clique com o botão direito do mouse em uma área vazia no lado direito da janela, selecione “New” e, em seguida, selecione “Valor DWORD (32 bits)”.
6. Nomeie o novo valor DWORD como “RunAsPPL”.
7. Clique duas vezes no valor “RunAsPPL” recém-criado e defina os dados do valor como 1.
8. Clique em “OK” para salvar as alterações.
9. Feche o Editor do Registro.