Los usuarios de Windows 11 informan que han visto advertencias generalizadas de seguridad de Windows de que la protección de la autoridad de seguridad local (LSA) se ha deshabilitado a pesar de que se muestra como si estuviera activada.
La protección de LSA es una función de seguridad crucial para defenderse contra el robo de información confidencial, como las credenciales de inicio de sesión, al bloquear el volcado de la memoria del proceso y la inyección de código no confiable en el proceso de LSA.
Garantiza que solo las entidades autorizadas puedan obtener acceso a la información crítica requerida para la autenticación del usuario y la seguridad del sistema.
Si bien los usuarios de Windows informan que este problema se debe a la actualización acumulativa KB5023706 de Windows 11 22H2 recientemente lanzada, esto ha estado sucediendo al menos desde el 15 de enero .
El mensaje "La protección de la autoridad de seguridad local está desactivada. Su dispositivo puede ser vulnerable". las advertencias aparecen aunque la protección LSA esté habilitada en Seguridad de Windows > Seguridad del dispositivo > Detalles de aislamiento del núcleo.
"Hay un problema técnico con esta función, si ha activado correctamente esta función y se le solicita que reinicie, tenga en cuenta que la función está ACTIVADA independientemente del mensaje, ya que se trata de un problema técnico del que somos conscientes y están trabajando para resolver ese problema lo antes posible", dijo el representante de soporte técnico de Microsoft a uno de los usuarios afectados.
Para verificar si LSA realmente se inició en modo protegido en su computadora cuando se cargó Windows, puede buscar el siguiente evento WinInit en los registros del sistema en Registros de Windows: "12: LSASS.exe se inició como un proceso protegido con nivel: 4"
Cómo eliminar las alertas de LSA Protection
Hasta que Microsoft implemente una solución para esta falla de la autoridad de seguridad local de Windows 11, debe agregar dos nuevas entradas de registro DWORD y configurarlas en '2' para asegurarse de que la función de protección LSA se habilite automáticamente después del próximo reinicio y las advertencias defectuosas. ya no se mostrará.
El procedimiento requiere que siga estos pasos:
- Abra el Editor del Registro y vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
- Agregue nuevas entradas RunAsPPL y RunAsPPLBoot DWORD y configúrelas en 2.
- Reinicie el sistema.
A principios de este mes, Redmond anunció que la última versión de Windows 11 que se implementará en Insiders en el canal Canary también habilitaría la Protección de la Autoridad de Seguridad Local (LSA) de forma predeterminada.
Sin embargo, esto solo sucederá si los sistemas pasan una auditoría de incompatibilidades (Microsoft aún no ha explicado qué problemas de compatibilidad está buscando).
En febrero de 2022, Microsoft dijo que activaría una regla de seguridad de "Reducción de la superficie de ataque" de Microsoft Defender de forma predeterminada que también bloquearía los intentos de robar las credenciales de Windows del proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS).
