Zuletzt geändert von Jannis Klein am 2024/03/19 17:57
<
Von Version < 19.1 >
bearbeitet von S V
am 2022/07/11 11:53
Auf Version < 20.1 >
bearbeitet von S V
am 2022/07/11 11:53
>
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -6,12 +6,13 @@
6 6  
7 7  Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>doc:63.ACMP-Solutions.Client-Management.Defender Management.Konfigurationsprofile.Konfigurationsprofil-Einstellungen.WebHome]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.
8 8  
9 -
9 +{{figure}}
10 10  (% style="text-align:center" %)
11 -[[image:ereigniseigenschaften_1121_zoom80.png||alt="Ereigniseigenschaften - Ereignis 1121"]]
11 +[[image:ereigniseigenschaften_1121_zoom80.png]]
12 12  
13 -(% style="text-align:center" %)
14 -
13 +{{figureCaption}}
15 15  Ereigniseigenschaften - Ereignis 1121
15 +{{/figureCaption}}
16 +{{/figure}}
16 16  
17 17  Sie umgehen diese Blockade, indem Sie die lsass.exe unter //Konfigurationsprofile > ASR-Regel Ausschlüsse// entweder als ganzen Ordner oder als Dateipfad einfügen. Aktivieren Sie dann noch die Checkbox// Dateien und Pfade aus den ASR-Regeln ausschließen//.

Navigation

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community