Desde la build 24H2 algunos usuarios han observado que el icono de Seguridad de Windows pierde la marca verde e informa de que la “Protección de la Autoridad de Seguridad Local (LSA)” está desactivada. Aunque el sistema sigue seguro, la alerta genera desconfianza. A continuación conocerás por qué ocurre, cómo corregirlo definitivamente y qué prácticas ayudan a evitar que vuelva a manifestarse.
Qué es la protección de la Autoridad de Seguridad Local (LSA) en Windows 11
LSA (Local Security Authority) es el subsistema responsable de validar inicios de sesión, gestionar credenciales y aplicar las políticas de seguridad. Cuando su protección está habilitada se ejecuta como un proceso aislado, firmado y cargado temprano en el arranque (lsass.exe), lo que impide que código no confiable intercepte contraseñas o tokens NTLM/Kerberos. Microsoft implementó esta medida de endurecimiento de forma opcional en Windows 10 22H2 y la activó por defecto en Windows 11 a partir de 22H2. En la versión 24H2 la funcionalidad se mantiene, pero un error visual puede indicar lo contrario.
Por qué puede aparecer desactivada en Windows 11 24H2
Actualizaciones defectuosas o incompletas
Una firma incorrecta de Windows Defender, un paquete acumulativo parcialmente aplicado o la instalación diferida de un controlador puede desincronizar el estado interno de LSA y la interfaz de Seguridad de Windows. En muchos casos basta con completar el ciclo de instalación y reiniciar.
Software de terceros que altera el registro
Antivirus de terceros, “optimizadores” o herramientas de personalización suelen sobrescribir claves de inicio protegido con el fin de insertar DLL propias en lsass.exe. Al detectar la alteración, Windows revierte a modo desprotegido y muestra la advertencia.
Falibilidad de la propia aplicación de Seguridad
Microsoft ha reconocido en notas de lanzamiento previas que el centro de seguridad puede mostrar estados inexactos. Mientras los valores del registro y del visor de eventos indiquen que LSA está protegido, el impacto es meramente cosmético.
Cómo comprobar el estado real de LSA
Puedes ir más allá de la interfaz gráfica con los siguientes métodos:
- Visor de eventos → Registro de Windows ► Sistema ► Id. 5007 o 12. La ausencia de eventos de degradación sugiere que el servicio sigue protegido.
- PowerShell (ejecutar como administrador):
Get-CimInstance -ClassName Win32_Service -Filter "Name='LSASS'" | Select-Object Name,StartMode,ProcessId
Si el modo de inicio es Boot y el PID existe, el aislamiento está activo. - WMI Query:
wmic /namespace:\\root\Microsoft\Windows\SecCtrl Path Lsa read property IsEnabled.
Solución paso a paso: habilitar LSA de forma permanente
- Presiona Win + R, escribe regedit y pulsa Intro.
- Navega a
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Lsa. - Crea o ajusta los valores DWORD:
NombreTipoDatosDescripción RunAsPPLDWORD 32 bits1Obliga a LSA a modo protegido en cada arranque. RunAsPPLBootDWORD 32 bits1Garantiza protección incluso antes de que se monte el registro de usuario. - Cierra el Editor del Registro y reinicia el equipo.
- Abre Seguridad de Windows ► Seguridad del dispositivo ► Aislamiento del núcleo y confirma que aparece “Activado”.
Diferencia entre valores 0, 1 y 2
| Valor | Significado | Comportamiento |
|---|---|---|
| 0 | Desactivado | LSA se ejecuta sin aislamiento. |
| 1 | Forzado por el usuario | La política se aplica incluso si el sistema no lo recomienda. |
| 2 | Configurable por el sistema | Windows decide según el hardware (seguro por defecto desde 22H2). |
Método alternativo: Directiva de grupo (Pro & Enterprise)
En ediciones que incluyen el Editor de directivas (gpedit.msc):
- Navega a Directiva Equipo Local ► Configuración del equipo ► Plantillas administrativas ► Sistema ► LSA.
- Habilita “Arrancar LSA como un proceso protegido” y “Configurar LSA para ejecutarse como proceso protegido al inicio”.
- Ejecuta
gpupdate /forcey reinicia.
Cómo evitar que la alerta vuelva a aparecer
- Mantén tus actualizaciones en un único reinicio: cuando Windows Update instale un conjunto de parches, reinicia inmediatamente para permitir que se apliquen de forma atómica.
- Desinstala utilidades de optimización sospechosas: si realmente necesitas un antivirus de terceros, elige proveedores que certifiquen compatibilidad con el modo LSA PPL (Protected Process Light).
- No modifiques manualmente los permisos de carpeta del sistema: mover o renombrar
lsass.exeo sus DLL asociadas rompe la firma de arranque. - Activa el Aislamiento de núcleo: la configuración de “Integridad de memoria” complementa LSA y depende del mismo entorno VBS (Hypervisor‑Protected Code Integrity).
- En entornos empresariales: usa Microsoft Intune o Configuration Manager para monitorizar el evento LSA Protection Disabled y activar respuestas automáticas.
Qué hacer si la interfaz sigue mostrando la advertencia
Si los valores del registro están correctos pero Seguridad de Windows no lo refleja, lo más probable es que sea un fallo de la interfaz. En builds Insider y versiones previas se han observado estos falsos positivos. Opciones:
- Ejecuta el comando
SFC /scannowseguido deDISM /Online /Cleanup-Image /RestoreHealthpara reparar archivos de sistema. - Usa el Centro de opiniones (Win + F) para enviar un informe detallado; Microsoft prioriza correcciones según el volumen de reportes.
- Espera un parche acumulativo: normalmente la corrección llega en el siguiente martes de actualizaciones (Patch Tuesday).
Preguntas frecuentes
¿Perderé certificaciones o acceso a funciones de empresa si LSA se muestra desactivado?
No. Las políticas de dominio suelen comprobar la presencia del proceso protegido, no la señal de la interfaz. Si lsass.exe está aislado, seguirás cumpliendo los requisitos de autenticación segura.
¿Puedo comprobar LSA desde scripts de supervisión?
Sí. Ejemplo en PowerShell:$lsa = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" ; if($lsa.RunAsPPL -eq 1){"Protegido"}else{"No protegido"}
¿Funciona en sistemas sin TPM 2.0?
LSA protegido requiere arranque seguro y VBS, ambos asociados al chip TPM. En hardware sin TPM 2.0 solo podrás forzar el valor, pero Windows ignorará la configuración.
Conclusión
El aviso “Protección de la Autoridad de Seguridad Local desactivada” en Windows 11 24H2 acostumbra a ser un falso positivo derivado de actualizaciones incompletas o software de terceros. Aun así, la integridad de LSA es fundamental para proteger credenciales. Verificar los valores del registro, forzar los DWORD adecuados y reiniciar solventa el problema en la gran mayoría de los casos. A largo plazo, mantener un flujo de actualizaciones ordenado y evitar utilidades intrusivas minimiza la probabilidad de que la advertencia regrese. Recuerda reportar siempre la incidencia a Microsoft para acelerar la publicación del parche definitivo.
Siguiendo los pasos anteriores recuperarás el estado verde en el Centro de seguridad y asegurarás que tu dispositivo continúe empleando el máximo nivel de protección contra robo de credenciales.