Änderungen von Dokument ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang

Zuletzt geändert von Jannis Klein am 2024/03/19 17:57

Von Version < 5.1 >

bearbeitet von S F
am 2021/11/26 10:21

Auf Version < 4.1 >

bearbeitet von S F
am 2021/11/26 10:20

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Seiteneigenschaften

Inhalt

@@ -1,17 +1,3 @@
  {{aagon.priorisierung}}
  {{/aagon.priorisierung}}
--
--== Use Case: Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang ==
--
--Beim Neustart des Agentendienstes können auf dem Agenten die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden.
--
--Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>url:https://manual.aagon.com/acmp/de/61/profil-einstellungen.htm#blockieren]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.
--
--
--[[image:https://manual.aagon.com/acmp/de/61/ereigniseigenschaften_1121_zoom80.png||alt="Ereigniseigenschaften - Ereignis 1121" height="418" width="598"]]
--
--Ereigniseigenschaften - Ereignis 1121
--
--
--Sie umgehen diese Blockade, indem Sie die lsass.exe unter Konfigurationsprofile > ASR-Regel Ausschlüsse entweder als ganzen Ordner oder als Dateipfad einfügen. Aktivieren Sie dann noch die Checkbox Dateien und Pfade aus den ASR-Regeln ausschließen.