Как процесс LSASS влияет на безопасность Active Directory?

Процесс LSASS (Local Security Authority Subsystem Service) влияет на безопасность Active Directory, так как он управляет политиками безопасности и хранит в памяти различные аутентификационные данные. 1

Некоторые аспекты влияния LSASS на безопасность:

• Хранение токенов пользователей. 3 Если токены (ключи доступа) остаются в памяти LSASS слишком долго, это повышает риск их кражи. 3 Чтобы снизить риск, рекомендуется настраивать время хранения кэша (ключ TokenLeakDetectDelaySecs типа DWORD), например, устанавливать значение не более 10 секунд. 3
• Возможность получения учётных данных. 1 Злоумышленник, получивший доступ к процессу LSASS, может узнать секретный ключ LSA и расшифровать разделы памяти, где хранится информация об учётных записях, в том числе билеты Kerberos. 1
• Контроль несанкционированных подключений. 3 Для контроля подключений к LSASS рекомендуется включать аудит всех операций с lsass.exe. 3 Это позволит оперативно узнавать о попытках дампа памяти. 3

Для повышения безопасности Active Directory рекомендуется минимизировать права доступа учётных записей, имеющих доступ к процессу LSASS, и внедрить политику использования сложных паролей с регулярной сменой. 1