/
  • Last updated
/
  • 7 min read

Come risolvere l’avviso “Il pacchetto LSA non è firmato come previsto” in Windows 11

Come risolvere l'avviso "Il pacchetto LSA non è firmato come previsto" in Windows 11 Immagine del banner del blog

Hai appena ricevuto l’avviso “Il pacchetto LSA non è firmato come previsto” sul tuo Windows 11? Non farti prendere dal panico: questo avviso fa parte del processo di protezione messo in atto dall’Autorità di sicurezza locale (LSA) di Windows, utilizzato per applicare i criteri di sicurezza, tra cui l’autenticazione all’accesso e la gestione delle credenziali.

In genere gli utenti ricevono questo avviso quando Windows rileva che uno o più plugin LSA non sono firmati correttamente secondo i requisiti di sicurezza di Microsoft, anche se la protezione LSA è attivata. Immaginalo come se fosse un ritardo nella consegna: Hai acquistato il prodotto online, ma il camion delle consegne assegnato alla tua residenza non ne ha tracciato correttamente la posizione, tanto che è scomparso e riapparso improvvisamente nel tuo giardino! Quindi, anche se l’autista si trova proprio davanti alla porta di casa, sarebbe saggio non accettare il pacco perché non sei certo che sia la persona giusta o che stia trasportando l’articolo giusto.

Microsoft consiglia agli utenti di attivare LSA Protection per ridurre il rischio di furto di credenziali. Tuttavia, se ricevi ancora l’avviso “La protezione LSA è attiva, ma il pacchetto LSA non è firmato come previsto”, ecco cosa puoi fare:

Risolvere gli avvisi persistenti “Pacchetto LSA non firmato”

Prima di procedere, assicurati di avere i seguenti prerequisiti tecnici:

  • Aggiornamenti di Windows: Tutti gli aggiornamenti di Windows in corso devono essere installati per garantire che il sistema attuale sia aggiornato.
  • Diritti amministrativi: Se sei attualmente in un ambiente gestito, potresti aver bisogno di parlare con il tuo amministratore IT.
  • Avvio sicuro e VBS: È necessario abilitare il Secure Boot e la sicurezza basata sulla virtualizzazione (VBS).
  • Supporto HVCI: Il dispositivo deve supportare l’integrità del codice protetta dall’hypervisor (HVCI).

Fase 1: Verifica lo stato di protezione LSA

Metodo A: Utilizzo dell’interfaccia grafica

    1. Accedi a Impostazioni > Privacy e sicurezza > Sicurezza di Windows > Sicurezza dispositivi 
    2. Fai clic su Dettagli isolamento core o Processore di sicurezza (a seconda della configurazione del sistema).
    3. Verifica lo stato della protezione LSA nella sezione Protezione dell’autorità di sicurezza locale. Può apparire uno dei tre messaggi che seguono:
      • La protezione LSA è attiva
      • ⚠️ La protezione LSA è attiva, ma il pacchetto LSA non è firmato come previsto
      • 🛑 La protezione LSA è disattivata
    4. Riavvia il sistema per eliminare i messaggi transitori.

💡 A volte l’interfaccia grafica non è affidabile o manca. Pertanto, questo metodo potrebbe non essere adatto a te. Altri metodi che puoi provare sono: 

Metodo B: Utilizzo del registro eventi di Windows

    1. Apri il Visualizzatore eventi. Puoi farlo digitando “Visualizzatore eventi” nella barra di ricerca di Windows.
    2. Vai su Registri applicazioni e servizi > Microsoft > Windows > CodeIntegrity > Operazionale.
    3. Cerca l’ ID evento 3089 o 3065:
      • ID evento 3089: Indica che LSA non è in esecuzione come processo protetto.
      • ID evento 3065: Indica che l’LSA è in esecuzione come protetto ma ha incontrato plug-in non firmati.

Metodo C: Utilizzo di msinfo32 

    1. Premi Win + R, digita msinfo32 e premi Invio.
    2. Scorri verso il basso e controlla i seguenti campi:
      • Sicurezza basata sulla virtualizzazione: Dovrebbe esserci scritto “In esecuzione”. In caso contrario, c’è un errore.
      • Credential Guard: Se la protezione LSA è attiva, viene visualizzato “In esecuzione”.

Fase 2: Abilita la protezione LSA

Metodo A: Attraverso l’Editor del Registro di sistema

    1. Premi Win + R, digita regedit e fai clic su Invio.
    2. Naviga fino alla chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. Controlla i due valori seguenti e configurali come descritto:
      1. EseguiComePPL
        • Se la DWORD RunAsPPL esiste già, fai doppio clic su di essa e imposta il suo valore su 1.
        • Se non esiste:
          • Fai clic con il pulsante destro del mouse su uno spazio vuoto e seleziona Nuovo > Valore DWORD (32 bit).
          • Il nome è RunAsPPL.
          • Imposta il valore su 1
      2. RunAsPPLBoot
        • Se la DWORD RunAsPPLBoot esiste già, fai doppio clic su di essa e imposta il valore su 1.
        • Se non esiste:
          • Fai clic con il pulsante destro del mouse su uno spazio vuoto e seleziona Nuovo > Valore DWORD (32 bit).
          • Rinominalo RunAsPPLBoot.
          • Imposta il suo valore su 1.
    4. Riavvia il sistema per applicare le modifiche.

Metodo B: Attraverso PowerShell

    1. Apri PowerShell come amministratore.
    2. Esegui i comandi:
      • Per abilitare la protezione LSA:

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 1 -PropertyType DWORD -Force

      • Per applicare la protezione all’avvio (opzionale):

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPLBoot" -Value 1 -PropertyType DWORD -Force

    1. Riavvia il sistema per applicare le modifiche.

Passo 3: Scansione e rimozione dei plugin LSA non conformi

Metodo A: Utilizzando l’Editor del Registro di sistema

    1. Premi Win + R, digita regedit e fai clic su Invio.
    2. Naviga fino alla chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. Esamina i pacchetti di autenticazione.
      • Controlla le voci Pacchetti di autenticazione e Pacchetti di sicurezza per i plugin di terze parti.
      • Le voci più comuni di terze parti possono includere vecchi componenti di software antivirus o VPN.
    4. Disinstalla o aggiorna il software, se necessario.
      • Identifica qualsiasi software di sicurezza non Microsoft che possa inserire plug-in LSA non firmati.
      • Disinstalla o aggiorna queste applicazioni con versioni conformi alla protezione LSA.

Metodo B: Utilizzo del Visualizzatore eventi

    1. Premi Win R, digita eventviewer.msc e premi Invio.
    2. Passa a Registri di Windows > Sistema.
    3. Nel menu a tendina Origini eventi, cerca e seleziona:
      • LSASS (Servizio sottosistema autorità di sicurezza locale)
      • CodeIntegrity
      • Puoi filtrare in base agli ID evento 3089 o 3065, che spesso si riferiscono a problemi di protezione LSA.
    4. Esamina e analizza i dettagli. Prestar attenzione ai riferimenti a DLL o percorsi di file specifici, in particolare a quelli situati al di fuori di C:\Windows\System32. Annota il nome e la posizione di eventuali plug-in di terze parti, come quelli di strumenti antivirus obsoleti.
    5. Incrocia i dati con quelli già installati nel sistema tramite Impostazioni > Applicazioni > Applicazioni installate.
    6. Rimuovi il software non conforme.
      • Se il plug-in appartiene a un’applicazione di terze parti nota:
        • Disinstallalo da Impostazioni > Applicazioni > Applicazioni installate.
        • Utilizza il programma di disinstallazione del fornitore, se disponibile.
      • Se la versione aggiornata è disponibile, scaricala da una fonte affidabile e installala.
    7. Riavvia il sistema per assicurarti che tutte le modifiche vengano applicate.

Passo 4: Correggi i problemi di integrità LSA

Metodo A: Utilizza l’opzione “Correggi” di Windows Security (se disponibile)

    1. Accedi a Impostazioni > Privacy e sicurezza > Sicurezza di Windows > Sicurezza del dispositivo.
    2. Fai clic su Dettagli isolamento core o Processore di sicurezza (a seconda della configurazione del sistema).
    3. Se il pulsante Correggi o Riavviaè presente, cliccalo per avviare la riparazione.
    4. Segui le richieste di riavvio del sistema.

💡 Come per il punto 1, a volte l’interfaccia grafica non è affidabile o manca. Pertanto, questo metodo potrebbe non essere adatto a te. Altri metodi che puoi provare sono: 

Metodo B: Confermare la correttezza del registro

Assicurati di aver applicato il metodo dell’Editor del Registro di sistema e il metodo PowerShell per abilitare esplicitamente RunAsPPL e,facoltativamente, RunAsPPLBoot. Questi annullano il comportamento dell’interfaccia grafica e applicano la protezione LSA direttamente a livello di sistema.

Metodo C: Esaminare manualmente il software di terze parti

Tieni presente che Windows non è in grado di rimuovere il software di terze parti; è necessario farlo manualmente. Se sono presenti plug-in non firmati, dovrai utilizzare il visualizzatore eventi, come descritto al punto 3, Metodo B, per identificare la fonte.

Ulteriori considerazioni sulla protezione LSA

  • Negli ambienti aziendali, puoi utilizzare i Criteri di gruppo o i Provider di Servizi di Configurazione (CSP) per applicare la protezione LSA su più sistemi.
  • Nota che gli strumenti e i software di terze parti più vecchi hanno meno probabilità di essere firmati. In questi casi, ti consigliamo di disinstallarli o di aggiornare questi pacchetti per risolvere l’avviso.
  • Ti consigliamo di monitorare regolarmente il Visualizzatore eventi o di utilizzare script PowerShell per verificare la presenza degli ID eventi 3065 o 3089, che indicano problemi di integrità LSA.

Risoluzione dell’avviso “Il pacchetto LSA non è firmato come previsto”

Questo avviso di protezione LSA si verifica quando i plug-in di terze parti non soddisfano gli attuali standard di integrità del codice. Sebbene possano essere frustranti da ricevere, si tratta di una strategia utile per proteggere il dispositivo dalle minacce. Tuttavia, in questa guida sono illustrati i passi necessari per risolvere questo avviso, in modo da poter svolgere il tuo lavoro senza interruzioni.

Inizia una prova gratuita

Potresti trovare interessante anche

Come aprire il Prompt dei comandi all'avvio in Windows 11 Immagine del banner del blog

Come aprire il prompt dei comandi all’avvio in Windows 11

Come attivare o disattivare l'accelerazione grafica hardware in Microsoft Edge Immagine banner del blog

Come attivare o disattivare l’accelerazione hardware grafica in Microsoft Edge

Come passare da una finestra aperta all'altra in Windows 11 Immagine del banner del blog

Come passare da una finestra aperta all’altra in Windows 11

Come attivare o disattivare la navigazione con il cursore in Microsoft Edge Immagine del banner del blog

Come attivare o disattivare la navigazione con il cursore in Microsoft Edge

Come rinominare una scheda di rete in Windows Immagine banner del blog

Come rinominare una scheda di rete in Windows

Come abilitare o disabilitare l'Action Center in Windows 10 e Windows 11 Immagine banner del blog

Come abilitare o disabilitare l’Action Center in Windows 10 e Windows 11

Torna alla pagina iniziale del blog
Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto