Защита локальной системы безопасности в Microsoft Defender

Узнаете, что такое защита локальной системы безопасности Local Security Authority (LSA) в Microsoft Defender, как отключить и включить её в Windows 11/10.

Что такое LSA Protection?

Защита локальной системы безопасности – это функция защиты учетных данных пользователей в Microsoft Defender Windows 11/10 методом запуска процесса LSASS.exe в изолированной среде, позволяя избежать кражу паролей и токенов из памяти, ограничивая доступ к ядру.

Как работает LSA Protection?

Процесс lsass.exe хранит в себе авторизованные пароли и токены для различных входов и авторизаций в системе Windows 11/10, которые можно украсть из памяти при помощи вредоносного ПО. Функция "Защита локальной системы безопасности" в Microsoft Defender запускает процесс lsass.exe со строгими правами и изолируя процесс, чтобы к нему не было доступа от сторонних программ и неподписанных драйверов. Это своего рода дополнительная мера безопасности в Microsoft Defender для тех, кому нужна строгая безопасность.

Как включить и отключить защиту локальную службу безопасности в Microsoft Defender

Защита локальной системы безопасности (LSA Protection) в Microsoft Defender можно включить или отключить вручную, когда возникают такие проблемы как ложное уведомление о её отключении после обновления Windows 11/10 или установке какой-либо программы, игры.

1. Откройте встроенный антивирус Microosft Defender в Windows 11/10.
2. Перейдите слева в пункт "Безопасность устройства" и справа "Сведения об изоляции ядра".
3. В пункте "Защита локальной системы безопасности" выключите или отключите ползунок.

Включить или отключить LSA при помощи CMD

Если параметр защиты локальной системы безопасности в Microsoft Defender уже включен, но всё ровно пишет, что нужно включить его, то нужно в реестре изменить два параметра RunAsPPLBoot и RunAsPPL. Это касается и отключения, когда может выдавать уведомление, что загрузка модуля заблокирована при установке приложения. Изменим данные значения реестра при помощи CMD. Для этого, запустите командную строку от имени администратора и введите ниже две команды по порядку, нажимая Enter после каждой, чтобы включить защиту локальной системы безопасности в Microsoft Defender.

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 2 /f

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPLBoot /t REG_DWORD /d 2 /f

💡Если нужно отключить защиту локальной системы безопасности в Microsoft Defender, то в команде замените 2 на 0.

Включить или отключить LSA через реестр

Чтобы включить или отключить Local Security Authority (LSA) в Microsoft Defender через реестр, выполните ниже действия:

1. Нажмите Win+R и введите regedit, чтобы открыть редактор реестра.
2. В реестре перейдите по пути:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

• Справа нажмите дважды по параметру RunAsPPLBoot и RunAsPPL.
• Задайте значение 2, чтобы включить или 0, чтобы отключить. Можно выставить значение 1, что означает легкую защиту.
• Если параметров нет, нажмите справа на пустом месте правой кнопкой мыши и "Создать" → "Параметр DWORD 32 бита".
• Назовите новые параметры RunAsPPLBoot и RunAsPPL, после чего задайте значение 2.
• Перезагрузите ПК.