win11本地安全機構(gòu)保護(hù)怎么開? Win11內(nèi)核隔離功能的啟動與影響詳解

發(fā)布時間：2025-07-18 14:55:18 作者：佚名

最近有不少使用Win11系統(tǒng)的用戶發(fā)現(xiàn)，在系統(tǒng)的安全應(yīng)用程序顯示“本地安全授權(quán)保護(hù)已關(guān)閉，什么是本地安全機構(gòu)保護(hù)？詳細(xì)請看下文介紹

在 Windows 11 的安全體系中，「本地安全機構(gòu)保護(hù)」扮演著至關(guān)重要的角色?！副镜匕踩珯C構(gòu)」（LSA）主要負(fù)責(zé) 3 件事：管理用戶身份驗證、執(zhí)行安全策略，以及存儲受保護(hù)的憑據(jù)。

在如今安全威脅層出不窮的環(huán)境下，這 3 項任務(wù)都至關(guān)重要。因此，微軟引入了 LSA 保護(hù)功能，它能有效阻止有人篡改 LSA，防御針對系統(tǒng)的高危攻擊。

1. 什么是「本地安全機構(gòu)保護(hù)」

在說清楚「本地安全機構(gòu)保護(hù)」之前，我們需要先搞清楚什么是「本地安全機構(gòu)」，再來說為什么要「保護(hù)」。

1.1 本地安全機構(gòu)

本地安全機構(gòu)（LSA）是 Windows 系統(tǒng)的關(guān)鍵安全組件，專門負(fù)責(zé)處理像身份驗證、安全策略和憑據(jù)存儲這樣的核心安全任務(wù)。它就像是電腦的「守門人」：

當(dāng)用戶嘗試登錄時，由它來驗證身份、管理密碼變更，并創(chuàng)建訪問令牌。
LSASS進(jìn)程則是實現(xiàn) LSA 子系統(tǒng)功能的具體進(jìn)程。

查看 lsass.exe 進(jìn)程

1.2 LSA 保護(hù)

LSA 保護(hù)的核心目標(biāo)，就是讓LSASS進(jìn)程更加安全：

通過將LSASS作為受保護(hù)進(jìn)程（PPL，Protected Process Light）來運行，從而阻止不受信任的代碼注入（injecting）其中，即便擁有管理員權(quán)限。
這一機制確保了只有受信任的服務(wù)和進(jìn)程才能被加載，能有效阻止惡意程序或低權(quán)限進(jìn)程的干擾，防范憑據(jù)竊取和惡意軟件執(zhí)行等風(fēng)險。

02. 準(zhǔn)備工作

在動手配置「本地安全機構(gòu)保護(hù)」之前，請確認(rèn)保足以下前提條件：

管理員權(quán)限：需要擁有管理員權(quán)限才能進(jìn)行配置。
基于虛擬化的安全性（VBS）：LSA 保護(hù)需要在「內(nèi)核隔離」模式下運行。VBS 會利用硬件虛擬化技術(shù)來隔離安全進(jìn)程，其中就包括了LSASS。如果系統(tǒng)不支持 VBS，保護(hù)功能可能會無法開啟。
UEFI 安全啟動：雖然不強制要求打開「安全啟動」，但強烈建議開啟。這能讓 LSA 保護(hù)變得更加堅固。

3. 啟用或禁用「本地安全機構(gòu)保護(hù)」

3.1 通過「Windows 安全中心」

1、按Windows + R快捷鍵打開「運行」對話框，執(zhí)行windowsdefender:（有冒號）打開「Windows 安全中心」。

2、進(jìn)入「設(shè)備安全性」>「內(nèi)核隔離詳細(xì)信息」。

3、根據(jù)你的需要，打開或關(guān)閉「本地安全機構(gòu)保護(hù)」開關(guān)。

4、重啟電腦讓更改生效。

打開或關(guān)閉「本地安全機構(gòu)保護(hù)」

3.2 通過組策略

1、按Windows + R快捷鍵打開「運行」對話框，輸入gpedit.msc并回車，打開「本地組策略編輯器」。

2、展開「計算機配置」>「管理模板」>「系統(tǒng)」>「本地安全機構(gòu)」。

3、在列表中找到并雙擊「將 LSASS 配置為作為受保護(hù)進(jìn)程運行」策略。

4、選擇「已啟用」，并根據(jù)需要選擇：

已禁用
使用 UEFI 鎖啟用（啟用 PPL）
無 UEFI 定鎖啟用（啟用 PPL + 驅(qū)動簽名驗證）

通過組策略管理 LSA 保護(hù)

3.3 更改注冊表

1、按Windows + R快捷鍵打開「運行」對話框，執(zhí)行regedit打開注冊表編輯器。

2、導(dǎo)航到以下路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3、雙擊名為RunAsPPL的DWORD (32 位) 值，并將其值設(shè)置為：

0：禁用 LSASS 的 PPL（Protected Process Light）保護(hù)
1：啟用 LSASS 的 PPL 模式（標(biāo)準(zhǔn)受保護(hù)進(jìn)程）
2：啟用 PPL 模式，并啟用驅(qū)動程序簽名驗證

通過注冊表管理 LSA 保護(hù)

4、（可選）RunAsPPLBoot控制著系統(tǒng)在啟動時是否以受保護(hù)的方式運行LSASS：

0：不啟用 PPL
1：啟用 PPL
2：啟用 PPL + 驅(qū)動簽名驗證

5、重啟電腦以應(yīng)用更改。

啟用「本地安全機構(gòu)保護(hù)」能有效增強 Windows 11 的整體安全性，特別是在身份驗證和憑據(jù)保護(hù)方面，有助于抵御惡意攻擊，符合現(xiàn)代安全規(guī)范。如果你遇到兼容性問題、老舊驅(qū)動不支持，或者需要排查登錄問題，也可以選擇暫時關(guān)閉該功能。合理配置，才能在安全與穩(wěn)定之間找到最佳平衡點。

內(nèi)核隔離功能的啟動與影響

功能與目的

內(nèi)核隔離功能在Windows 11中已被默認(rèn)啟用，這是微軟近期通過系統(tǒng)更新實現(xiàn)的改變。該功能旨在提升系統(tǒng)安全性，通過阻止內(nèi)核級惡意軟件的攻擊來保護(hù)用戶的數(shù)據(jù)和系統(tǒng)。

副作用與影響

然而，這一變化也帶來了一些副作用，例如英特爾或OEM提供的處理器超頻工具在Windows 11上可能無法正常工作。這主要是因為超頻工具需要訪問和修改內(nèi)核設(shè)置，而內(nèi)核隔離功能會阻止這些操作。即使用戶在BIOS中手動進(jìn)行設(shè)置，也可能會被系統(tǒng)重置為默認(rèn)值，導(dǎo)致超頻功能失效。值得注意的是，微軟此前也曾默認(rèn)開啟過內(nèi)核隔離功能，但后來因游戲性能下降而默默禁用?，F(xiàn)在，他們似乎又重新啟用了這一功能，但用戶可以在Microsoft Defender中主動禁用它。