Zeige letzte Bearbeiter
1 {{aagon.priorisierung}}
2 10
3 {{/aagon.priorisierung}}
4
5 Beim Neustart des Agentendienstes können auf dem Agenten die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden.
6
7 Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>doc:ACMP.63.ACMP-Solutions.Client-Management.Defender Management.Konfigurationsprofile.Konfigurationsprofil-Einstellungen.WebHome]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.
8
9 {{figure}}
10 (% style="text-align:center" %)
11 [[image:ereigniseigenschaften_1121_zoom80.png]]
12
13 {{figureCaption}}
14 Ereigniseigenschaften - Ereignis 1121
15 {{/figureCaption}}
16 {{/figure}}
17
18 Sie umgehen diese Blockade, indem Sie die lsass.exe unter //Konfigurationsprofile > ASR-Regel Ausschlüsse// entweder als ganzen Ordner oder als Dateipfad einfügen. Aktivieren Sie dann noch die Checkbox// Dateien und Pfade aus den ASR-Regeln ausschließen//.

Navigation

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community