Algumas ferramentas de segurança e utilitários do sistema no Windows 11 conseguem ler a memória do LSASS, enquanto outras são bloqueadas e falham com erro de acesso negado. Isso acontece porque o Windows 11 inclui um recurso de segurança chamado LSASS Protected Process Light, ou PPL, que limita quais processos podem interagir com o Serviço de Subsistema de Autoridade de Segurança Local. O comportamento específico depende se a ferramenta é assinada com a assinatura correta de antimalware Early Launch Anti-Malware e é executada como um processo protegido. Este artigo explica como o LSASS PPL funciona, por que bloqueia certas ferramentas e o que fazer se uma ferramenta confiável estiver sendo bloqueada.
Principais Conclusões: LSASS PPL e Acesso a Ferramentas no Windows 11
- LSASS Protected Process Light PPL: Um recurso de segurança do Windows que restringe o acesso de processos à memória do LSASS para evitar roubo de credenciais
- Assinatura de driver antimalware ELAM: A única assinatura que permite que uma ferramenta seja executada como processo protegido e acesse o LSASS
- Ferramentas sem status PPL ou assinatura ELAM: Bloqueadas de ler a memória do LSASS, causando erros de acesso negado
Como o LSASS Protected Process Light Controla o Acesso a Ferramentas
O LSASS Protected Process Light é um mecanismo de segurança do Windows que protege o Serviço de Subsistema de Autoridade de Segurança Local contra acesso não autorizado. O LSASS lida com autenticação, alterações de senha e criação de tokens. Atacantes que obtêm acesso à memória do LSASS podem extrair hashes de senha, tickets Kerberos e outras credenciais. O PPL impede isso restringindo quais processos podem abrir um handle para o LSASS com direitos de acesso específicos.
A regra principal é que apenas processos que estão sendo executados como um processo protegido podem abrir o LSASS com acesso PROCESS_VM_READ. Para ser executado como um processo protegido, a ferramenta deve ser assinada com um certificado Early Launch Anti-Malware válido. Esse certificado é emitido apenas para fornecedores legítimos de software de segurança que atendem aos requisitos da Microsoft. Ferramentas que não são assinadas dessa forma, mesmo se executadas como Administrador, são bloqueadas.
Esse design cria uma divisão clara. Ferramentas de segurança como Microsoft Defender for Endpoint, CrowdStrike Falcon e SentinelOne são assinadas com certificados ELAM e executadas como processos protegidos. Elas podem ler a memória do LSASS para monitoramento legítimo e detecção de ameaças. Utilitários do sistema como Process Explorer, Process Hacker e Mimikatz não são assinados com ELAM. Eles são bloqueados de ler a memória do LSASS, que é exatamente o comportamento pretendido.
O Que Acontece Quando uma Ferramenta é Bloqueada
Quando uma ferramenta não-PPL tenta abrir o LSASS com PROCESS_VM_READ, o Windows retorna o código de erro STATUS_ACCESS_DENIED. A ferramenta pode exibir uma mensagem de erro, falhar ao listar o LSASS em sua árvore de processos ou mostrar informações incompletas. Isso não é um bug. É o resultado esperado da aplicação do PPL. Algumas ferramentas, como o Process Explorer, ainda podem mostrar o LSASS na lista de processos, mas não podem despejar sua memória ou ler suas strings.
Passos para Determinar Por Que uma Ferramenta é Bloqueada pelo LSASS PPL
Se você precisa entender por que uma determinada ferramenta não consegue acessar o LSASS, siga estes passos para verificar seu status de assinatura e nível PPL.
- Abra um Prompt de Comando ou PowerShell elevado
Pressione Win + X e selecione Terminal Admin. Confirme o prompt de Controle de Conta de Usuário. Isso concede as permissões necessárias para inspecionar detalhes do processo. - Verifique o nível de proteção do processo LSASS
Execute o comando:tasklist /m /fi "PID eq lsass.exe". Procure o PID de lsass.exe. Em seguida, execute:wmic process where processid="PID" get processid, name, processprotectiontype. Substitua PID pelo ID real do processo LSASS. Um valor de 1 ou 2 indica que o PPL está ativo. - Verifique a assinatura e o status PPL da ferramenta
Execute a ferramenta que está sendo bloqueada. Em seguida, abra outra janela do PowerShell elevado e execute:Get-CimInstance Win32_Process -Filter "name='toolname.exe'" | Select-Object Name, ProcessId, ProcessProtectionType. Substitua toolname.exe pelo nome real do executável. Se ProcessProtectionType for 0, a ferramenta não está sendo executada como um processo protegido e não pode acessar o LSASS. - Verifique a assinatura digital da ferramenta
Clique com o botão direito no arquivo .exe da ferramenta no Explorador de Arquivos, selecione Propriedades e vá para a guia Assinaturas Digitais. Verifique se o signatário é um fornecedor de antimalware afiliado à Microsoft. Se o signatário não for um fornecedor certificado ELAM, a ferramenta não pode se tornar compatível com PPL sem uma nova assinatura da Microsoft. - Verifique os logs de eventos do Windows para eventos de bloqueio
Abra o Visualizador de Eventos e navegue até Logs do Windows > Segurança. Filtre pelo ID do evento 4674. Este evento registra quando um processo tenta uma operação em um processo protegido. Procure entradas onde Nome do Objeto contém lsass.exe e Máscara de Acesso inclui PROCESS_VM_READ. Isso confirma o bloqueio.
Problemas Comuns Quando o LSASS PPL Bloqueia Ferramentas
Process Explorer não consegue despejar a memória do LSASS no Windows 11
O Process Explorer da Sysinternals é uma ferramenta popular para visualizar detalhes de processos. Quando você clica com o botão direito em lsass.exe e seleciona Criar Despejo, pode receber um erro informando Acesso Negado. Isso acontece porque o Process Explorer não é assinado com um certificado ELAM e não é executado como um processo protegido. A única alternativa é desabilitar o LSASS PPL, o que reduz a segurança. A Microsoft não recomenda desabilitar o PPL. Em vez disso, use uma ferramenta de segurança que suporte PPL se precisar de acesso à memória do LSASS para análise forense.
Ferramentas de auditoria de segurança falham ao ler tokens do LSASS
Algumas ferramentas de auditoria de terceiros tentam enumerar tokens de segurança do LSASS. Essas ferramentas também falham com acesso negado se não forem compatíveis com PPL. A solução é entrar em contato com o fornecedor e solicitar uma versão assinada com ELAM. Alternativamente, use ferramentas de auditoria internas do Windows, como wevtutil e cmdlets do PowerShell que não exigem acesso direto à memória do LSASS.
Mimikatz não consegue extrair credenciais no Windows 11 com PPL habilitado
Mimikatz é uma ferramenta conhecida de extração de credenciais. No Windows 11 com PPL habilitado, o Mimikatz não consegue ler a memória do LSASS e retorna um erro. Isso é proposital. O PPL foi projetado especificamente para bloquear ferramentas como o Mimikatz. Se você é um pesquisador de segurança testando defesas, pode desabilitar o PPL temporariamente em um ambiente de laboratório controlado modificando a chave do registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL e definindo-a como 0, depois reiniciando. Não faça isso em um sistema de produção.
LSASS PPL vs Acesso de Ferramentas Não-PPL: Principais Diferenças
| Item | Ferramenta Assinada com Certificado ELAM | Ferramenta Sem Certificado ELAM |
|---|---|---|
| Nível de proteção do processo | Executa como um processo protegido PPL | Executa como um processo padrão ou administrador |
| Acesso de leitura à memória do LSASS | Permitido | Bloqueado com acesso negado |
| Exemplos | Microsoft Defender, CrowdStrike Falcon, SentinelOne | Process Explorer, Process Hacker, Mimikatz |
| Permissão necessária | Assinatura ELAM da Microsoft | Apenas privilégios de administrador |
| Impacto na segurança | Baixo risco de roubo de credenciais | Alto risco se o acesso for permitido |
| Pode se tornar compatível com PPL | Já compatível | Requer que o fornecedor obtenha um certificado ELAM |
A tabela mostra que ferramentas assinadas com ELAM são as únicas que podem acessar a memória do LSASS. Todas as outras ferramentas são bloqueadas independentemente de direitos de administrador. Esta é uma fronteira de segurança fundamental que não pode ser contornada executando uma ferramenta como administrador ou desabilitando o Controle de Conta de Usuário.
Agora você pode identificar por que uma ferramenta específica é bloqueada pelo LSASS PPL no Windows 11. Verifique a assinatura digital da ferramenta e seu tipo de proteção de processo usando os passos acima. Se você precisar de acesso ao LSASS para um propósito legítimo, entre em contato com o fornecedor da ferramenta sobre a obtenção de um certificado ELAM. Para tarefas de administração do sistema que não exigem acesso à memória do LSASS, use as ferramentas internas do Windows como Get-LocalUser no PowerShell ou o snap-in Usuários e Grupos Locais. Desabilitar o PPL não é recomendado porque enfraquece a proteção contra ataques de roubo de credenciais.