🛡️ Windows (Security): "Убить" Mimikatz. Включаем LSA Protection (PPL)

Боль: Хакер получил права админа на 1 сервере. Он запускает mimikatz.exe -> sekurlsa::logonpasswords -> и "вытаскивает" из памяти процесса lsass.exe все пароли/хэши, включая Domain Admin'а, который логинился туда 2 часа назад. Игра окончена.

Реакция админа: "Мой EDR/Антивирус поймает mimikatz". (А если нет?)
Реакция архитектора: "Я сделаю lsass.exe неприкосновенным".

LSA Protection (PPL - Protected Process Light) — это "спящий" режим защиты в Windows (начиная с 8.1 / Server 2012 R2), который запрещает любым процессам (даже с правами SYSTEM) читать память lsass.exe.

Как включить (1 ключ реестра):

# Запускаем PowerShell от имени Admin
$RegPath = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa"
Set-ItemProperty -Path $RegPath -Name "RunAsPPL" -Value 1

(Требуется перезагрузка для применения)

Результат: mimikatz (и другие "дамперы") просто выдаст ERROR kuhl_m_sekurlsa_acquireLSA ; Process Protection Error! (0x00000005). Доступ запрещен.

Взгляд архитектора: Это фундаментальное "укрепление" (Hardening). Вы не "надеетесь" на EDR, вы используете встроенный механизм ОС, чтобы сделать компрометацию lsass.exe невозможной.

#windows #security #mimikatz #lsass #cybersecurity #architect #гайд #musthave