身份验证包

Windows 身份验证包 DLL 在系统启动时由本地安全机构（LSA）进程加载。 它们支持操作系统的多登录过程和多安全协议。

攻击者可以使用 LSA 身份验证包提供的自动启动机制来实现持久化，方法是在 Windows 注册表 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\位置放置对二进制文件的引用，该键值为"Authentication Packages"=。在加载身份验证包时，系统将执行该二进制文件。

缓解

Windows 8.1、Windows Server 2012 R2 以及后续版本可能通过设置注册表键 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL, 使 LSA 作为受保护轻进程 (PPL) 运行，它要求所有由 LSA 加载的 DLL 都必须由 Microsoft 签名。

检测

监视注册表以查看对 LSA 注册表项的更改。 监控 DLL 加载的 LSA 进程。 当没有签名的 DLL 试图设置注册表键 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe 的 AuditLevel = 8, 使其加载到 LSA 中时，Windows 8.1 和 Windows Server 2012 R2 可能会生成事件。