Aktiver LSA-beskyttelse (RunAsPPL) i Windows 11

Hvad nu hvis én enkelt indstilling kunne sætte en effektiv stopper for en hel klasse af password-tyveri og pass-the-hash-angreb på din Windows-pc? Det lyder næsten for godt til at være sandt, men netop dét er løftet bag LSA-beskyttelse - også kendt som RunAsPPL

Alligevel er funktionen som standard deaktiveret på langt de fleste private og mange virksomhedsmaskiner.

I takt med at trusselslandskabet udvikler sig, er lsass.exe - hjernen i Windows’ konto- og sikkerhedsmodel - blevet et af de mest eftertragtede mål for angribere. Én vellykket hukommelsesdumpning, og dine adgangskoder er pludselig frit tilgængelige. Med LSA-beskyttelse kan du låse døren indefra, før nogen overhovedet når at vrikke ved håndtaget.

I denne guide fra IT Forum Danmark | Din hjælpende hånd på nettet går vi skridtet videre end blot at forklare, hvorfor du bør aktivere funktionen. Vi viser dig - trin for trin - præcis hvordan du slår LSA-beskyttelse til i Windows 11, hvordan du tjekker at alt kører korrekt, og hvad du gør, hvis noget går galt.

Så spænd sikkerhedsselen, tag en frisk kop kaffe, og lad os gøre din pc markant mere modstandsdygtig over for moderne angreb - på under ti minutter.

Aktiver LSA-beskyttelse (RunAsPPL) i Windows 11

Hvad er LSA-beskyttelse (RunAsPPL) – og hvorfor er det vigtigt?

Local Security Authority Subsystem Service (lsass.exe) er hjertet i Windows-autentificering. Processen står bl.a. for at:

  • validere bruger- og computersign-ons (NTLM, Kerberos, Smartcard, m.fl.)
  • oprette og vedligeholde sikkerhedstokener, som giver processer adgang til systemressourcer
  • håndtere politikker for adgangskontrol, lokale sikkerheds- og revisionspolitikker

Da lsass.exe konstant opbevarer følsomme kredentialer (hash-værdier, Kerberos-tickets, adgangskoder i klartekst under visse scenarier), er den et yndet mål for trusselsaktører. Kompromitteres processen, kan angriberen dumpe kredentialer og eskalere rettigheder - populært kendt som credential dumping eller pass-the-hash.

Fra “almindelig” proces til protected process light (ppl)

Windows introducerede med Vista en sikkerhedsmekanisme kaldet Protected Process (PP) til at beskytte DRM-kritiske processer. Med Windows 8.1 udvidede Microsoft konceptet til Protected Process Light (PPL), som giver en mere fleksibel måde at køre kernesystemprocesser i et forstærket miljø:

  1. PPL-processer må kun injiceres i eller debugg’es af processer med samme eller højere beskyttelsesniveau.
  2. Kun signeret kode, der er whitelistet af Microsoft, kan loade ind i processen.
  3. Kernen håndhæver rettighederne - manipulation blokeres før brugermode-software får adgang.

Når man aktiverer LSA-beskyttelse (RunAsPPL), instrueres Windows til at starte lsass.exe som en PPL-proces. Angribere skal nu først bryde PPL-barrieren (en kerne-enforced kontrol), før de kan interagere med eller dumpe hukommelsen fra LSA. Det er markant sværere og hæver tærsklen for mange standardiserede exploits og red-team-værktøjer.

Sammenligning med credential guard

Funktion LSA-beskyttelse (RunAsPPL) Windows Defender Credential Guard
Beskyttelsesteknik PPL (kerne-håndhævet integritet) Virtualiseringsbaseret sikkerhed (VBS) - kører LSA-secret-lager i en isoleret Hyper-V container
Scope Forhindrer kode-injektion og memory-dump af lsass.exe Isolerer også hashed/afledte kredentialer helt væk fra OS-kernen
Krav til hardware Ingen særlige (kun Windows 11 kompatibilitet) SLAT-understøttet CPU, Secure Boot, TPM 2.0 og VBS slået til
Kompatibilitet Høj - påvirker primært ældre drivere/credential providers Kan konflikte med visse VPN-klienter, smartcards, RDP-gateways, m.m.
Performance-påvirkning Minimal (ingen virtualiserings-overhead) Let overhead pga. VBS-isolation

Kort sagt: Credential Guard går et skridt videre ved at isolere selve hemmelighederne vha. Hyper-V, men LSA-beskyttelse er langt mindre invasiv og kræver ingen ekstra hardware. Mange organisationer vælger derfor at starte med RunAsPPL og senere udvide til Credential Guard, når hardware- og softwarekompatibilitet er afklaret.

Hvornår bør man aktivere lsa-beskyttelse i windows 11?

  • Når maskinen håndterer domæne- eller Azure AD-kredentialer (typisk alle firmapc’er).
  • Når du allerede har BitLocker, Secure Boot og opdateret antivirus i drift - RunAsPPL er et naturligt næste skridt.
  • På udvikler- og testmaskiner hvor tooling kræver adgang til debug af LSA, kan funktionen vente til test er afsluttet.
  • Hvis hardware-kravene til Credential Guard ikke opfyldes, men du stadig vil hæve sikkerhedsniveauet.

Microsoft har gjort LSA-beskyttelse til standardindstilling på nyinstallerede Windows 11 22H2 (fra april 2023-opdateringen). Er din enhed opgraderet fra ældre builds, skal du dog aktivere den manuelt - og det er netop det resten af denne guide viser dig, trin for trin.

Krav, forbehold og forberedelser før aktivering

Før du kaster dig ud i at slå LSA-beskyttelse til, er det værd at sikre, at både din Windows-version og din infrastruktur er klar til ændringen. Følg tjeklisten herunder:

1. Understøttede windows 11-versioner

  • Funktionen er fuldt understøttet fra Windows 11 22H2 build 22621 og frem - alle editioner (Home, Pro, Enterprise, Education, SE).
  • 21H2 (oprindelig release) mangler visse sikkerhedsopdateringer; opgrader derfor til seneste funktions- eller kvalitetsopdatering, før du aktiverer.
  • Både x64- og ARM64-udgaver er understøttet, så længe lsass.exe kører i 64-bit-tilstand.
  • Kræver Secure Boot slået til for optimal beskyttelse, men kan teknisk set aktiveres uden.

2. Krav om administratorrettigheder

Aktivering - hvad enten det er via Windows Sikkerhed, Registreringsdatabasen eller en MDM-politik - kræver lokale administratorrettigheder. På domæne-tilsluttede enheder bør processen styres centralt via GPO/Intune for at sikre ensartet konfiguration.

3. Hold system og sikkerhedssoftware ajour

  1. Windows Update: Installer alle seneste kumulative opdateringer, da LSA-forbedringer ofte leveres som kernel-patches.
  2. Drivere & firmware: Opdater særligt sikkerhedsrelaterede drivere (TPM, smartcard, netværk). Forældede kernel-drivere kan blive blokeret, når LSA kører som Protected Process.
  3. Endpoint-sikkerhed: Moderne EDR/antivirus-klienter (Microsoft Defender for Endpoint, CrowdStrike, Trellix, osv.) understøtter LSA-beskyttelse. Kontroller leverandørens dokumentation og installer nyeste agent.

4. Kend dine potentielle kompatibilitetsfælder

  • Ældre credential providers - fx gamle SSO-moduler, tredjeparts password-managere eller biometriske login-pakker - injicerer ofte kode i lsass.exe. De vil blive afvist, hvis de ikke er PPL-signerede.
  • Smartcard-brokere / middleware - ældre middleware (SafeNet, Gemalto Classic Client, ActivIdentity m.fl.) kan fejle ved logon eller signering, hvis de anvender user-mode hooks.
  • VPN-klienter med integreret credential capture (fx visse Cisco AnyConnect- eller Pulse Secure-versioner) kan miste funktionalitet.

Test i et kontrolleret miljø eller en pilot-ring, før du ruller funktionen bredt ud.

5. Opret en sikkerhedsline - Systemgendannelse / backup

  • Opret Systemgendannelsespunkt eller tag et bare-metal-image, så du hurtigt kan vende tilbage, hvis en driver eller tjeneste nægter at starte.
  • På virksomheds-pc’er: verificér, at seneste EB/DPM-backup er konsistent.

6. Forvent en eller to genstarter

Når registreringsdatabasenøglerne skrives - eller skiftet foretages i Windows Sikkerhed - markerer Windows ændringen til næste boot. Første genstart aktiverer PPL-tilstand; en anden genstart kan være nødvendig, hvis Windows registrerer, at driver-signering eller andre komponenter også skal klargøres.

Har du krydset alle punkterne ovenfor af, er du klar til selve aktiveringen - og dermed et væsentligt skridt mod at beskytte dine legitimationsoplysninger mod moderne angreb.

Trin-for-trin: Sådan aktiverer du LSA-beskyttelse i Windows 11

Der findes flere veje til målet - vælg den, der passer til din arbejdsgang og dit miljø. Alle metoder kræver lokale administratorrettigheder og afsluttes med mindst én genstart, før ændringen træder i kraft.

Metode 1: Brugervenlig aktivering via windows sikkerhed

  1. Åbn Start-menuen, søg efter Windows Sikkerhed, og start appen.
  2. Klik på Enhedssikkerhed i venstre side.
  3. Under sektionen Kerneisolation finder du kortet LSA-beskyttelse.
    Vises kortet ikke, kører din enhed sandsynligvis allerede som en beskyttet proces, eller funktionen er deaktiveret af organisationens politikker.
  4. Sæt kontakten til Til.
  5. Luk Windows Sikkerhed, og genstart pc’en for at fuldføre aktiveringen.

Metode 2: Registreringsdatabasen (regedit eller powershell)

Velegnet til scripts, billeder og når GUI-kontakten mangler.

  1. Åbn Regedit.exe (kør som administrator).
  2. Navigér til: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Opret (eller redigér) DWORD-værdien RunAsPPL og sæt den til 1.
  4. (Valgfrit men anbefalet) Opret DWORD-værdien RunAsPPLBoot og sæt den til 1.
    Dette beskytter LSASS allerede i boot-fasen.
  5. Luk Registreringseditor, og genstart.

PowerShell-variant - kør i forhøjet konsol:

New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -ErrorAction SilentlyContinueSet-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Type DWord -Value 1Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPLBoot" -Type DWord -Value 1Restart-Computer

Metode 3: Central udrulning til virksomheder (gruppepolitik & intune)

Gruppepolitik (on-prem ad eller lokale gpo’er)

  1. Åbn Group Policy Management Console (GPMC.msc).
  2. Opret eller redigér den GPO, der skal ramme dine Windows 11-maskiner.
  3. Gå til: Computer Configuration > Administrative Templates > System > Local Security Authority
  4. Find indstillingen Configure LSASS to run as a protected process og sæt den til Enabled.
  5. Force-opdater politikker (gpupdate /force) eller vent på naturlig opdatering, og genstart klienterne.

Microsoft intune / endpoint manager

  1. Log på Intune Admin Center.
  2. Navigér til Endpoint Security > Account protection eller Endpoint security > Attack surface reduction (afhængigt af tenant-version).
  3. Opret en ny politik LSASS Protection, vælg platformen Windows 10 and later, og sæt Configure LSASS to run as a protected process til Enable.
  4. Tildel politikken til de ønskede grupper eller enheder.
  5. Efter at enhederne har modtaget konfigurationen, påkræves en genstart for at aktivere beskyttelsen.

Tip: Rul funktionen ud i faser (piloter > produktionsringe) og overvåg hændelseslogge for kompatibilitets-advarsler, inden du går bredt ud.

Verificér og test at LSA kører som Protected Process

  1. Åbn Start ➜ skriv Windows Sikkerhed og vælg appen.
  2. Gå til Enhedssikkerhed  → Kernelisolering  → LSA-beskyttelse.
  3. Står der “LSA-beskyttelse er aktiveret” med en grøn markering, kører lsass.exe som Protected Process Light.
  4. Vises der en gul advarsel om “Kræver genstart”, skal du blot genstarte pc’en for at fuldende hærdningen.

2. Tjek registreringsdatabasen

  1. Åbn Regedit (kør regedit.exe som administrator).
  2. Navigér til
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  3. Verificér at følgende værdier findes og er sat til 1 (hex eller decimal):
    RunAsPPL  og/eller  RunAsPPLBoot.
  4. Mangler værdierne eller er de sat til 0, er LSA-beskyttelse ikke aktiv, selv om Windows Sikkerhed måske endnu ikke har opdateret status.

3. Gennemse hændelseslogge (event viewer)

  1. Åbn Event Viewer (eventvwr.msc).
  2. Navigér til
    Applications and Services Logs → Microsoft → Windows → LSA → Operational.
  3. Filtrer på Event ID 3000 og 3001:
    • 3000: “LSASS.exe started as a protected process.” - bekræfter succes.
    • 3001: “LSASS.exe failed to start as a protected process…” - indikerer blokering, som ofte skyldes ældre credential-udvidelser eller drivere.
  4. Tjek også for Event ID 3065 eller 3051, som kan pege på specifikke inkompatible DLL’er.

4. Visuelt bevis med sysinternals process explorer

  1. Download eller kør Process Explorer (kræver administratorrettigheder).
  2. Find lsass.exe i listen, højreklik ➜ Properties.
  3. I fanen Image skal feltet “Protection” vise Protected (Light). Hvis der kun står None, er funktionen ikke aktiv.

Hvornår bør du genstarte igen?

Efter første aktivering kræves mindst én genstart for at Windows loader LSASS som beskyttet proces. Foretager du ændringer i registreringsdatabasen eller fjerner inkompatibel software, er endnu en genstart nødvendig, før status i Windows Sikkerhed og hændelseslogge opdateres korrekt.

Med disse fire metoder har du både GUI-, log- og lavniveau-beviser for, at din Windows 11-enhed nu kører med maksimal LSA-hærdning og dermed er betydeligt bedre beskyttet mod credential dumping-angreb.

Fejlfinding, kompatibilitet og rollback

Selv om LSA-beskyttelse som udgangspunkt er bagudkompatibel, kan ældre credential providers, smartcard-brokere, antivirus-drivere eller andre sikkerhedsudvidelser blokere for, at lsass.exe kan starte som Protected Process Light. Derfor bør du have en fast procedure til fejlfinding og, hvis nødvendigt, hurtig tilbagevenden til normal drift.

1. Hold øje med advarsler og hændelser

  • Windows Sikkerhed: Viser en gul eller rød status, hvis en inkompatibel driver/udvidelse forhindrer LSA i at køre beskyttet.
  • Event ViewerApplications and Services Logs > Microsoft > Windows > LSA > Operational:
    Event-ID Beskrivelse Typisk årsag
    5004 “LSASS.exe is running as a protected process.” Succes - alt kører som forventet
    5005 “LSASS.exe failed to start as a protected process and will run unprotected.” Blokerende driver eller DLL
    3065 Navn på specifik inkompatibel fil vises Identifikation af synderen
  • Process Explorer: Kolonnen Protection bør vise “PsProtected (Light)”. Er den blank, kører LSASS u-beskyttet.

2. Sådan løser du inkompatibilitet

  1. Notér filnavnet fra Event-ID 3065 eller Windows Sikkerhed.
  2. Undersøg leverandørens website for en opdateret driver/patch, der understøtter PPL.
  3. Kan komponenten undværes, afinstaller eller deaktiver den midlertidigt.
    Tip: Mange ældre credential providers ligger under %SystemRoot%\System32 og kan blot fjernes fra registreringsdatabasenøglen HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers.
  4. Genstart, og kontroller hændelsesloggene igen.

3. Udrul i ringe – og overvåg undervejs

For virksomheder anbefales en staged udrulning:

  • Ring 0 (Pilot): IT-afdelingen, få maskiner med forskellige hardwareprofiler.
  • Ring 1 (Early adopters): Sikkerhedsbevidste brugere/power-users.
  • Ring 2 (Bred udrulning): Resten af organisationen.

Efter hver ring:

  • Indsaml Event Viewer-logs (kan automatiseres med SIEM/Log Analytics).
  • Gennemgå help-desk tickets for autentificerings- eller smartcard-problemer.
  • Opdater “bloker-liste” over inkompatible drivere, før næste ring aktiveres.

4. Hurtig rollback ved akutte problemer

  1. Log på som lokal eller domæne-administrator.
  2. Åbn Registreringsdatabasen, og sæt HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL = 0
    samt (hvis den er sat) RunAsPPLBoot = 0.
  3. Genstart én gang. LSASS kører nu uden PPL, og afhængige apps burde fungere igen.
  4. Undersøg årsagen, opdater software, og aktiver beskyttelsen på ny.

5. Løbende vedligehold og bedste praksis

  • Planlæg månedlig eller kvartalsvis kontrol af Event-ID 5005/3065 i hele miljøet.
  • Hold AV/EDR-platforme og smartcard-middleware opdateret; inkluder PPL-support i kontraktkrav.
  • Indbyg check for RunAsPPL i konfigurations-/compliance-rapporter (f.eks. med PowerShell Desired State Configuration).
  • Dokumentér og test rollback-proceduren årligt – hellere kende processen end lære den i brand.
  • Når nye Windows 11-funktionsopdateringer frigives, gentag pilot-testen, da drivermodeller kan ændre sig.

Indholdsfortegnelse