Windows 11でローカルセキュリティ機関の保護を有効にする方法

Windows 11 でローカル セキュリティ機関 (LSA) を扱うのは、時々ちょっと面倒なことがあります。これは、ログイン、セキュリティ ポリシー、ファイルやアプリへのアクセスを可能にするトークンの生成などを扱うコア コンポーネントの 1 つです。最近、LSA 保護をオフにするとどうなるかが話題になっていますが、正直言って、軽々しく変更できるものではありません。LSA 保護をオフにすると、セキュリティ面で問題が生じる可能性がありますが、特定のアプリやテスト シナリオに合わせて調整が必要になる場合もあります。そこで、LSA 保護のオン / オフを確認する方法、そして安全に切り替える方法 (少なくとも、ある程度の注意を払って) について、実際の手順を解説します。これらの設定を変更するのは決して軽々しくできることではありません。始める前に、その結​​果を理解しておくことが重要です。

Windows 11でLSA保護を確認し、有効または無効にする方法

レジストリエディターを使用して LSA 保護が有効になっているかどうかを確認する

この方法では、Windowsレジストリを詳しく調べる必要があり、これはやや繊細な領域です。regeditの使用経験があれば、簡単に理解できるでしょう。基本的に、` RunAsPPL ` が 1 に設定されている場合、LSA保護はオンです。この設定が見つからないか、0 に設定されている場合は、オフです。設定によっては、この設定が多少異なる場合や、変更を反映するために再起動が必要になる場合があります。あるマシンでは、設定が反映されるまでに数回の再起動が必要でした。

• を押してWindows + R、regeditと入力し、Enter キーを押します。
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsaに移動します。
• RunAsPPL DWORD値を探してください。この値が存在し、1 に設定されている場合、LSA 保護が有効です。
• 見つからない場合、またはオンにしたい場合は、Lsaフォルダーを右クリックし、 [新規] > [DWORD (32 ビット) 値]を選択して、 RunAsPPLという名前を付け、値を 1 に設定します。
• マシンを再起動すると、新しい設定が有効になります。

現在の状態を確認した後、LSA保護を無効にする方法

LSA保護が有効になっていて、旧式ソフトウェアとの互換性の問題やテストのためだけに無効にする必要がある場合は、以下の手順に従ってください。ただし、これによりシステムのセキュリティが低下するため、慎重に検討してください。環境によっては、セーフモードで起動したり、グループポリシーを変更したりするなど、追加の手順を実行しない限り、Windowsがリセットされたり、変更がブロックされたりすることがあります。

• もう一度、上記と同じようにregeditを開きます。
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsaに移動します。
• RunAsPPLエントリを見つけます。
• それを右クリックし、[変更]を選択して、値を 0 に設定します。
• レジストリ エディターを閉じて、PC を再起動します。

一部のマシンでは、この変更は完全な再起動、あるいはセーフモードで起動するまで反映されない場合があるので、すぐに反映されなくても心配しないでください。Windowsは、こうした低レベルの変更をうまく処理できないことがあります。

LSAとセキュリティツールに関する追加情報

一部のサードパーティ製ウイルス対策ソフトウェアやエンドポイントセキュリティソリューションでは、LSA保護に関する特別な設定が必要な場合があります。これは当然のことながら、Windowsではこの設定が少し複雑になっているためです。そのようなソリューションをご利用の場合は、レジストリキーを操作する前に、必ずドキュメントをご確認ください。

また、LSAに関連する変更や不審なアクティビティを監視するには、Windowsイベントビューアーのセキュリティログや、より高度な脅威検出ツールなどのツールやイベントログを確認できます。認証プロセスで何が起こっているかを把握しておくことは、後々大きな問題を回避するための鍵となります。

最後に

LSA保護を完全に無効にすることは決して容易ではありません。一般的に、絶対に必要な場合を除いて有効にしておくのが最善です。LSA保護の状態を確認し、有効/無効を切り替える方法を知っておくと、特にソフトウェアの互換性に関するトラブルシューティングや、正当なテストを行う場合は、少し安心できます。ただし、これらの設定を変更することは、コアとなるセキュリティ機能に影響を与えることを覚えておいてください。常に慎重に作業を進め、可能であれば設定のバックアップを取ってください。

これで数時間の頭を悩ませる時間が省けるといいのですが、なぜそうなるのかは分かりませんが、レジストリの調整と再起動で問題が解決することがよくあります。

まとめ

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsaを介してレジストリ内の LSA 保護ステータスを確認します。
• 必要に応じて、有効にするにはRunAsPPL を1 に設定し、無効にするには 0 に設定します。
• 変更を有効にするには、変更を加えた後に必ず再起動してください。
• LSA 保護を無効にすると、システムの脆弱性が高まる可能性があることに注意してください。

まとめ

このプロセス全体は少し神経質に感じるかもしれませんが、LSA保護の切り替え方法を知っておくと、奇妙な互換性の問題に直面したり、特定のアプリがエラーを吐いたりするときに役立ちます。ただし、有効にしておくことでシステムの安全性が高まり、特別な理由がある場合のみ一時的に無効にしてください。マルウェアは休むことなく活動しているので、無効にする前にセキュリティへの影響を真剣に検討してください。この方法が誰かの頭痛の種を少しでも軽減してくれることを願っています。私が調べたいくつかの環境では、確かにうまくいきました。