Microsoft a introduit l’Autorité de Sécurité Locale (LSA) pour améliorer la sécurité, notamment la vérification des connexions et la protection des informations d’identification. La protection LSA est activée par défaut sous Windows 11, 22H2, pour les appareils nouvellement installés et connectés à un domaine d’entreprise.
Avant d’activer LSA, il est recommandé d’identifier et de vérifier les plug-ins et pilotes utilisés. Actuellement, LSA ne peut pas être géré via Intune. Les options disponibles sont :
- Sécurité Windows
- Registre
- Stratégie de Groupe
Activer LSA sur un appareil local
Si vous n’avez qu’un petit nombre d’ordinateurs à gérer, vous pouvez activer LSA localement sur les postes de travail eux-mêmes. Pour cela, suivez ces étapes :
- Ouvrez l’application Sécurité Windows.
- Accédez à Sécurité de l’appareil.
- Cliquez sur Détails d’isolement de base.
- Dans la section Protection de l’Autorité de Sécurité Locale, activez le commutateur.
Dans la capture d’écran ci-dessous, LSA est actuellement désactivé. Une fois que vous aurez activé le commutateur, redémarrez votre ordinateur pour que les modifications prennent effet.
Cette méthode est simple et rapide pour améliorer la sécurité de vos appareils Windows locaux.
Registre
Vous pouvez gérer LSA via le Registre, soit en utilisant l’éditeur de registre local, soit via une stratégie de groupe en utilisant les préférences de stratégie de groupe. Le chemin de clé requis est le suivant :
`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa`
Si vous souhaitez activer LSA en mode audit, accédez à la clé LSA et créez une valeur nommée `AuditLevel`. Sélectionnez `REG_DWORD` comme type de valeur et entrez `00000008` dans le champ de données de valeur. Cette option est utile pour identifier les plug-ins et pilotes LSA qui ne pourront pas être chargés en mode de protection LSA.
Pour activer complètement LSA, créez une clé de valeur nommée `RunAsPPL`, choisissez `REG_DWORD` et entrez `00000002` pour activer la protection sans variable UEFI, ou `00000001` si vous utilisez une variable UEFI (ce dernier paramètre est généralement utilisé pour Windows 11 version 22H2 et ultérieures
Étapes pour activer LSA via le Registre :
- Ouvrez l’éditeur de registre :
- Appuyez sur `Windows + R`, tapez `regedit.exe`, puis cliquez sur OK.
- Confirmez l’ouverture en sélectionnant « Oui » à l’invite.
- Accédez à la clé LSA :
- Dans la barre d’adresse, entrez `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa`.
- Créez ou modifiez la valeur `RunAsPPL` :
- Dans le volet de droite, double-cliquez sur `RunAsPPL` si elle existe, sinon créez-la en faisant un clic droit > Nouveau > Valeur D-Word 32 bits.
- Nommez-la `RunAsPPL` et entrez la valeur `00000002` pour activer la protection.
- Redémarrez l’ordinateur pour que les modifications prennent effet.
Cette méthode nécessite une certaine expertise technique et il est conseillé de sauvegarder le registre avant de procéder à ces modifications
Créer une GPO pour déployer des valeurs de registre
Pour activer LSA via une stratégie de groupe, suivez ces étapes :
- Ouvrez la console GPMC et créez une nouvelle GPO.
- Éditez la GPO et accédez à Configuration de l’ordinateur > Préférences > Registre.
- Créez un nouvel élément de registre :
- Chemin de la clé : `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa`
- Nom de la valeur : `RunAsPPL`
- Type de valeur : `REG_DWORD`
- Données de valeur : `00000001`
- Enregistrez et appliquez la GPO aux unités organisationnelles appropriées.
Cette méthode permet de déployer facilement les paramètres LSA à travers un réseau.
