「ローカルセキュリティ機関の保護」ってなに?
まず、「ローカルセキュリティ機関の保護」ってなに? というお話をします。
LSA 【Local Security Authority】
→日本語訳「ローカルセキュリティ機関」
Windowsのユーザーアカウント管理、アプリケーションへの認証、捜査権限の管理などをつかさどるコンポーネントです。
Windows起動時にパスワードやPINを入力して、サインインしますね。あの場面でもすでに動いていて、正しいパスワードやPINが入力されたか検証しているのが「ローカルセキュリティ機関」です。
ローカルセキュリティ機関に不正なプログラムがアクセスすると…
万一、この「ローカルセキュリティ機関」に、不正なプログラムがアクセスすると、次のようなことが起こります。
・パスワードは漏洩していないのに、
Windowsや関連するシステムが乗っ取られる
めちゃくちゃ重大な事態ですよね。それで、数年前から悪用事例もあって大きな問題になっています。例えばこんな記事が出ています。
「Windows LSA」の脆弱性、米CISAが改めてパッチ適用を勧告 | ZDNET
ローカルセキュリティ機関保護により、セキュリティが向上している
そこで、Windows 11には「ローカルセキュリティ機関の保護」という機能が追加され、22H2以降のバージョンでは標準で「オン」になっています。
この機能は、一定の基準を満たすアプリケーションだけが「ローカルセキュリティ機関」にアクセスできるようにし、満たさないアプリケーションは強制的に遮断する機能です。
LSA プラグインまたはドライバーが保護されたプロセスとして正常に読み込まれるには、次の 2 つのセクションの条件を満たす必要があります。
署名の検証
保護モードでは、LSA に読み込まれたプラグインを Microsoft 署名でデジタル署名する必要があります。 署名されていないプラグイン、または Microsoft 署名で署名されていないプラグインは、LSA に読み込まれません。
Microsoft セキュリティ開発ライフサイクル (SDL) プロセス ガイダンスへの準拠
すべてのプラグインは、該当する SDL プロセス ガイダンスに準拠している必要があります。 詳細については、「 Microsoft セキュリティ開発ライフサイクル (SDL) – プロセス ガイダンス」を参照してください。
Microsoft Learn 「追加された LSA 保護を構成する」より
Appleの「Bonjour」のモジュールは、この基準を満たさないと判断され、強制的に遮断されたと考えられます。
コメント