今回は、Windows 11 の「ローカルセキュリティ機関 (LSA) の保護」が有効かどうかを確認する方法を紹介します。
Windows 11 では、Windows セキュリティに「ローカルセキュリティ機関の保護がオフになっています。」という警告が表示されることが問題となっていました。
この問題について、Microsoft は 2023/07/05 に解決したと発表しています。
解決済? KB5007651 「ローカルセキュリティ機関の保護がオフになっています。」
しかし、現在 Windows セキュリティには「ローカルセキュリティ機関の保護」の項目が表示されなくなり、イベントビューアーで確認確認しなければ本当に有効なのか、無効なのかがわからなくなってしまいました。
ローカルセキュリティ機関の保護 (LSASS) とは
署名されていないドライバーとプラグインがローカルセキュリティ機関に読み込まれるのを防ぐことで、ユーザーの資格情報を保護するのに役立ちます。
Windows 11 のローカルセキュリティ機関の保護 (LSASS) は、コンピューターのセキュリティを保護するために重要な役割を果たすサービスです。
LSASS は、ユーザーの認証、パスワードの管理、セキュリティポリシーの適用など、さまざまな機能を担当しています。
LSASS がオフになっていると、コンピューターのセキュリティが低下し、攻撃を受けやすくなる可能性があります。
個人、企業ともに有効にしておくことをおすすめします。
※「ローカルセキュリティ機関の保護」は、メモリ整合性が「オフ」であっても有効にすることができます。
「ローカルセキュリティ機関の保護」が有効かどうかを確認する方法
1.画面下のスタートボタンを右クリックし、「イベントビューアー」をクリックします。
2.イベントビューアーが開きますので、イベント ビューアー (ローカル)>Windows ログ>「システム」をクリックします。
しばらくすると、右側に情報が表示されます。
3.「システム」を右クリック>「現在のログをフィルター」をクリックします。
4.「イベントリソース」で「Wininit」にチェックを入れます。
5.OK をクリックします。
6.イベントID「12」をクリックし、下の全般タブに「LSASS.exe がレベル 4 で保護されたプロセスとして起動されました。」と表示されていれば「ローカルセキュリティ機関の保護」が有効です。
注意事項
イベントビューアーには、以前の情報も保存されています。
今現在「ローカルセキュリティ機関の保護」が有効かどうかを確認するためには、日付と時刻を必ず確認してください。
Microsoft は、2023/07/05 に「ローカルセキュリティ機関の保護」の警告が表示される問題を解決したと発表しましたが、「ローカルセキュリティ機関の保護」の項目は表示されなくなりました。
これは、「ローカルセキュリティ機関の保護」が有効になったという意味ではありません。
ここに注意してください。
現在「ローカルセキュリティ機関の保護」が有効かどうかを確認するためには、一度 PC を再起動し、PC が起動した時間以降のイベントID「12」を確認してください。
実際に筆者の Windows 11 (3つの環境)で確認してみました。
すると、Win11 解決!「ローカルセキュリティ機関の保護がオフになっています。」の原因で追加したレジストリ値を削除した後に再起動をするとイベントID「12」が表示されませんでした。
「Wininit」のイベントID「12」が表示されないということは、「ローカルセキュリティ機関の保護」が有効ではないということになりますね。
再度レジストリ値を追加し、再起動をするとイベントID「12」が表示されました。
以前「ローカルセキュリティ機関の保護」の項目があったときに「オン」にしていたなら有効になっているかもしれませんが、特に企業などの PC では必ず確認しておくことをおすすめします。
2023/07/12:
先ほど新規インストールした Windows 11 で確認したところ、やはり「Wininit」のイベントID「12」が表示されていません。
「ローカルセキュリティ機関の保護」を有効にするには、次のページで紹介した、Microsoft も回避策として公開しているレジストリ値の追加が必要です。
Win11 解決!「ローカルセキュリティ機関の保護がオフになっています。」の原因
これは、デフォルトでは「ローカルセキュリティ機関の保護」が有効にならないということになりますね。
2024/10/10:
※Windows 11 バージョン 24H2 では、2024/10/08 にリリースされた更新プログラム KB5044285 をインストール後に再起動をすると、タスクトレイの Windows セキュリティのアイコンにビックリマークが表示されていました。
Windows セキュリティを開き、「ローカルセキュリティ機関の保護」の項目を確認すると「オン」に設定されており、再起動が必要だと表示されていました。再起動後、ビックリマークは消え、イベントビューアーでも「ローカルセキュリティ機関の保護」が有効であることを確認できました。
コメント(降順)