今回は、Microsoft 365 Defenderのセキュアスコアポイント獲得の取り組み第3弾として、ローカルセキュリティ機関(以下、LSA)の保護を有効化する方法について記載します。また、LSAの有効化によってセキュアスコアが改善されることを実際に確認していきます。
以下、過去に記載したセキュアスコアポイント獲得に関する記事になります。ご興味がありましたらこちらもご覧になってください。
現在のセキュアスコアポイント確認
まずは、現在のMicrosoft 365 Defenderのセキュアスコアを確認します。セキュアスコアに関する詳細については以下のMicrosoft公式ドキュメントをご参照ください。
1. セキュリティ管理者権限を持つアカウントで、Microsoft 365 Defenderコンソール へアクセスします。
2. 画面左メニューより「セキュアスコア」を選択します。現在は78.31%でした。
次に、セキュアスコアを獲得するための改善方法について確認していきます。
3. 「おすすめの操作」タブをクリックします。こちらに表示される一覧の中で、状態が「要対処」になっている項目が改善すべき対象になります。今回は、「ローカルセキュリティ機関(LSA)の保護を有効にする」の対応を実施していきます。
4. 対象の項目を選択すると、以下画像の様に改善内容の詳細を確認することができます。
5. 「実装」タブを選択します。こちらで具体的な手順を確認することができます。今回は、[脆弱性の管理]>[推奨事項]を読めという指示のため、リンクをクリックします。
6. セキュリティに関する推奨事項の画面が表示されて、今回の項目における説明や潜在的なリスクを確認することができます。
7. 「修復オプション」タブをクリックします。こちらにて、具体的な改善方法が確認できます。今回は、レジストリを変更しなさいという指示のようです。補足ですが、「露出されたデバイス」タブでは対象項目に該当するデバイスの一覧を確認することができます。
セキュアスコアおよび対象項目の改善方法の確認は以上で完了です。次から、「ローカルセキュリティ機関(LSA)の保護」に関する仕様を確認して、実際に設定追加を実施していきたいと思います。
ローカルセキュリティ機関(LSA)の保護とは
まず、ローカルセキュリティ機関(LSA)とは、ユーザー認証、セキュリティトークンの生成、アクセス制御などのセキュリティタスクを処理する機能であり、lsass.exeというプロセス内で実行されます。
LSAの保護は、このプロセスへの悪意のあるアクセス(例えば、保護されていないプロセスによるコードインジェクション)から保護する機能になります。この機能を有効化することで、LSA が格納して管理する資格情報のセキュリティが強化されます。
資格情報を保護する機能として、LSAの保護以外にCredential Guardがあります。簡単ですがこれらの違いを記載いたします。
| 機能名 | 説明 |
|---|---|
| LSAの保護 | LSAの保護は、LSASSプロセスへの悪意のあるアクセスや攻撃から保護する機能です。 LSA が格納して管理する資格情報に対するセキュリティを強化します。 |
| Credential Guard | Credential Guardは、仮想化ベースのセキュリティ(VBS)を使用して資格情報をLSASSプロセスとは分離して安全に格納する機能です。 高度な資格情報(例えば、NTLMハッシュやKerberosチケットなど)を保護します。 |
上記の通り、LSAの保護とCredential Guardはそれぞれ異なるセキュリティ領域に焦点を当てており、共同して使用することでよりセキュリティ強化を実現することが可能です。
※Credential Guardについては過去に以下記事を記載していますので、ご興味がありましたらご覧になってください。
ローカルセキュリティ機関(LSA)の保護を有効化
それでは、ここから実際にLSAの保護を有効化していきます。今回は、Microsoft Intune(以下、Intune)の構成プロファイルを使用する方法とWindows端末のローカルグループポリシーを使用する方法の2パターン記載します。(※Windows 11 バージョン 22H2 以降向けの手順になります。)
Intuneの構成プロファイルでLSAの保護を有効化
1. Intuneの管理者権限をもつアカウントを使用して、Intune 管理センター へアクセスします。
2. [デバイス > 構成プロファイル]へアクセスし、画面上部の「プロファイルの作成」を選択します。
3. プラットフォーム「Windows 10 以降」、プロファイルの種類「テンプレート」を選択し、テンプレート名の中から「カスタム」を選択して「作成」をクリックします。
4. 構成設定タブで以下の通り設定して「保存」をクリックします。
| 項目 | 設定値 |
|---|---|
| 名前 | OMA-URI 設定の名前を指定 |
| 説明 | OMA-URI 設定の説明を指定 |
| OMA-URI | ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess |
| データ型 | 整数 |
| 値 | 1 |
5. 設定内容を確認して「作成」をクリックします。今回は、以下画像の通りすべてのデバイスを割り当て対象に設定しました。
6. プロファイル適用後、OSを再起動します。
以上で完了です。
カスタム デバイス構成プロファイルを作成して LSA 保護を有効にする
ローカルグループポリシーでLSAの保護を有効化
1. Windows OSへサインインを行い、検索ボックスで「gpedit.msc」を入力して「グループポリシーの編集」をクリックします。
2. [コンピューター構成]>[管理用テンプレート]>[システム]>[ローカル セキュリティ機関] を展開します。「保護されたプロセスとして実行するように LSASS を構成する」ポリシーを開きます。
3. ポリシーを「有効」に変更します。また、オプションとして「UEFIロックで有効化」を選択して、「適用」をクリックします。
4. OSを再起動します。
以上で完了です。
Windows 11 バージョン 22H2 以降でローカル グループ ポリシーを使用して有効にする
LSAの保護のステータス確認
LSAの保護の有効化が完了したので、実際に開始しているか確認していきます。確認はイベントビューアーより行うことができます。
- タスクバーの検索ボックスに「イベント」と入力して、イベントビューアーを起動します。
2. [Windows ログ]>[システム]を表示して、現在のログをフィルターでイベントソース「Wininit」を選択して表示します。
3. イベントID 12 の「LSAASS.exeがレベル 4 で保護されたプロセスとして起動されました。」が表示されていることを確認します。
以上で完了です。
設定後のセキュアスコアポイント確認
最後に、LSAの保護を有効化したことによりMicrosoft 365 Defenderのセキュアスコアが改善されたかどうか確認していきます。
まずは、「おすすめの操作」タブで対象の項目を表示したところ、以下画像の通り状態が「完了」になっていることを確認できました。
続けてセキュアスコアを表示したところ、78.79%(0.48%増)になっていることを確認できました。
さいごに
いかがだったでしょうか?今回は、Microsoft 365 Defenderのセキュアスコアポイント獲得のため、LSAの保護を有効化して実際にどれぐらい改善されたのか記載しました。引き続き、セキュアスコアポイント獲得に向けて活動していきますので、第4弾以降も記事にしていきたいと思います。
