本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
今回は以下のマイクロソフトの URL でご案内している LSA 保護について補足させていただきます。
LSA 保護とは、lsass.exe を「Protected Process Light (PPL)」として実行し、保護されていないプロセスによるメモリの読み取りやコード インジェクションを防ぐ仕組みです。
また、Protected Process Light(PPL)は Windows の特別な保護プロセス モードで、重要プロセスを改ざん・停止・メモリ読み取りから守るための OS レベルの保護機構です。
上記 URL では、LSA 保護が有効な状態、また、LSA 保護の監査モードとなっている状態で、適切に署名されていないプラグインやドライバーが読み込まれると以下のイベントが記録されることをご案内しています。
イベントが記録される場所
1 | [アプリケーションとサービス] - [Microsoft] - [Windows] - [CodeIntegrity] - [Operational] |
LSA 保護が有効なときに記録されるイベント
1 | イベント ID : 3033 |
1 | イベント ID : 3063 |
LSA 保護の監査モードとなっているときに記録されるイベント
1 | イベント ID : 3065 |
1 | イベント ID : 3066 |
上記 URL では LSA 保護について説明しており、その中でこれらのイベント ID 3033、3063、3065、3066 を紹介していますが、これらのイベントは LSA 保護に特化したイベントではないため、LSA 保護が有効、監査モードの状態以外にも記録されます。
単にこれらのイベント ID が記録されたことをもって、即座に LSA 保護によるプラグインやドライバーの読み込みの阻止が行われたと判断することはできない点にご留意ください。
これらのイベントのメッセージ中の <lsass.exe のパス> の欄に lsass.exe のパスが記載されていることをご確認ください。
イベントのメッセージ中に lsass.exe のパスが記録されている場合は、LSA 保護により記録されたものと判断できます。
逆に、lsass.exe 以外のパス (例えば MsMpEng.exe や msedge.exe) が記録されている場合は、LSA 保護により記録されたものではありません。
イベント ID 3033、3063、3065、3066 が出力された際は、メッセージ中に lsass.exe のプロセスのパスが記録されているかどうかまでご確認いただくようお願いいたします。
更新履歴
2026/4/10 : 本ブログの公開
※ 本情報の内容 (リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。