Microsoft indique que la dernière version de Windows 11 déployée pour les initiés dans le canal Canary activera la protection de l’autorité de sécurité locale (LSA) par défaut.
La protection LSA est cruciale pour se prémunir contre le vol d’informations sensibles ou d’identifiants de connexion en bloquant l’injection de code non fiable dans le processus LSA et en bloquant le vidage de la mémoire du processus.
Comme décrit par Microsoft dans l’application de sécurité Windows 11, il « contribue à protéger les informations d’identification des utilisateurs en empêchant les pilotes et les plug-ins non signés de se charger dans l’autorité de sécurité locale ».
En termes plus simples, la protection LSA agit comme un contrôleur d’accès, garantissant que seules les entités autorisées peuvent accéder aux informations critiques requises pour l’authentification des utilisateurs et la sécurité du système.
Cependant, il y a des mises en garde car cette nouvelle option de sécurité de Windows 11 ne sera activée que si elle réussit un audit vérifiant les incompatibilités du système (Microsoft n’a pas expliqué les problèmes de compatibilité qu’il vérifie).
« À partir de la mise à niveau, nous effectuerons un audit pendant un certain temps pour vérifier les incompatibilités avec la protection LSA. Si nous ne détectons aucune incompatibilité, nous activerons automatiquement la protection LSA », ont déclaré Amanda Langowski et Brandon LeBlanc de Microsoft.
Les initiés Windows peuvent vérifier si la protection LSA est activée sur leurs systèmes en ouvrant l’application Sécurité Windows et en accédant à la page Sécurité de l’appareil > Isolation du cœur.
Ils peuvent également utiliser le journal des événements Windows pour vérifier si des plug-ins et des pilotes LSA ont été bloqués en ouvrant l’Observateur d’événements et en recherchant les événements avec les ID 3033 et 3063 sous Microsoft-Windows-Codeintegrity/Operational (plus de détails ici).
En février 2022, Microsoft a également déclaré qu’il activerait par défaut une règle de sécurité « Attack Surface Reduction » de Microsoft Defender pour bloquer les tentatives de vol d’informations d’identification Windows du processus LSASS (Local Security Authority Subsystem Service).
Breachtrace attend toujours que Microsoft réponde à un e-mail demandant quand cette règle sera activée par défaut.
La build 25314 de Windows 11 Insider Preview déployée aujourd’hui pour les initiés dans le canal Canary augmente encore la sécurité de Windows 11 en désactivant le protocole Remote Mailslot par défaut.
Aujourd’hui, Microsoft a également publié une nouvelle version d’aperçu de Windows 11 pour le canal de développement redémarré, qui comprend plusieurs nouvelles fonctionnalités, notamment un nouveau bouton de toast de notification pour copier les codes 2FA, les clés d’accès de l’explorateur de fichiers et un nouvel indicateur d’état VPN.