Änderungen von Dokument ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang
Zuletzt geändert von Jannis Klein am 2024/03/19 17:57
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -6,12 +6,13 @@ 6 6 7 7 Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>doc:63.ACMP-Solutions.Client-Management.Defender Management.Konfigurationsprofile.Konfigurationsprofil-Einstellungen.WebHome]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht. 8 8 9 - 9 +{{figure}} 10 10 (% style="text-align:center" %) 11 -[[image:ereigniseigenschaften_1121_zoom80.png ||alt="Ereigniseigenschaften - Ereignis 1121"]]11 +[[image:ereigniseigenschaften_1121_zoom80.png]] 12 12 13 -(% style="text-align:center" %) 14 - 13 +{{figureCaption}} 15 15 Ereigniseigenschaften - Ereignis 1121 15 +{{/figureCaption}} 16 +{{/figure}} 16 16 17 17 Sie umgehen diese Blockade, indem Sie die lsass.exe unter //Konfigurationsprofile > ASR-Regel Ausschlüsse// entweder als ganzen Ordner oder als Dateipfad einfügen. Aktivieren Sie dann noch die Checkbox// Dateien und Pfade aus den ASR-Regeln ausschließen//.