Windows安全 – 什么是LSASS转储？如何防护？

高级持续性威胁（APT）组织及其他威胁行为者能够转储Windows凭证的能力，对企业等组织构成严重威胁。MITRE ATT&CK知识库中编号T1003.001的技术描述了通过转储本地安全机构子系统服务（LSASS）进程内存获取Windows系统凭证的方法。

认证与授权

认证（AuthN）和授权（AuthZ）不可互换使用。凭证用于验证用户身份，认证通过后授权机制才决定用户权限。例如：“非道德黑客未经授权访问目录并修改文件” – 常规用户可浏览目录，但修改数据属于越权行为。

企业环境中基于Windows的系统使用Active Directory（或云端等效服务Azure Active Directory）将计算机加入域并集中管理。域控制器管理域内计算机，账户存储在本地服务器或云端。相反，工作组模式中计算机独立认证，适用于家庭或小型企业。

lsass.exe（本地安全机构服务器服务）负责域环境和工作组计算机的认证，同时管理：

进程内存转储是将操作内存片段写入磁盘以供分析。转储文件包含进程机器代码、内存变量（如字幕或数值）等数据。转储时机至关重要：用户登录前转储不包含凭证，登录后转储可能包含密码哈希。

BlackCat勒索软件攻击是实际案例：攻击者通过SMB协议转储合法远程桌面软件，修改WDigest配置，转储LSASS进程内存后使用Mimikatz工具读取用户密码。

攻击者在后利用阶段启动工具进行LSASS内存转储，实现横向移动。常用工具包括：

工具成功率取决于操作系统版本和安全功能。需在本地管理员或SYSTEM账户权限下运行。

使用系统任务管理器可转储进程内存（图2），但Windows 11启用Defender时会触发防病毒警报（图3）。

从https://live.sysinternals.com/procexp.exe下载Process Explorer工具，转储方法类似但可能受安全功能阻挡。

LSASS进程属于LSA（本地安全机构）进程。LSA保护（RunAsPPL，PPL代表受保护进程轻量级）通过注册表键值启用：

1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

创建名为RunAsPPL的DWORD值（0x00000001）启用保护（图4）。

启用保护并非总是简单：启用Secure Boot时该值存储在固件中，无视注册表修改。可通过事件查看器验证LSA保护是否激活（图5），检查是否存在日志条目：

1

LSASS.exe program was started as a protected process with level: 4.

在Process Explorer中启用"Protection"列可验证LSASS进程是否受保护（图6-7）。尝试转储受保护进程内存会提示访问拒绝（图8）。

通过注册表禁用WDigest认证可减少明文密码泄露风险：

1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest\

将UseLogonCredential值设为0x00000000。

作者: Dawid Farbaniec | 标签: lsass, windows