安全支持提供者

对手可能会滥用安全支持提供者 (SSP) 在系统启动时执行 DLL。Windows SSP DLL 在系统启动时加载到本地安全机构 (LSA) 进程中。一旦加载到 LSA 中，SSP DLL 就可以访问存储在 Windows 中的加密和明文密码，例如任何登录用户的域密码或智能卡 PIN。 SSP 配置存储在两个注册表项中：HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages 和 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages。对手可能会修改这些注册表项以添加新的 SSP，这些 SSP 将在系统下次启动时加载，或者在调用 AddSecurityPackage Windows API 函数时加载。(引用: Graeber 2014)