Zuletzt geändert von Jannis Klein am 2024/03/19 17:57
<
Von Version < 39.2 >
bearbeitet von S V
am 2023/12/11 10:40
Auf Version < 40.1 >
bearbeitet von Jannis Klein
am 2024/03/19 17:57
>
Änderungskommentar: Renamed back-links.

Zusammenfassung

Details

Seiteneigenschaften
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.SVelibeyoglu
1 +XWiki.jklein
Inhalt
... ... @@ -4,7 +4,7 @@
4 4  
5 5  Beim Neustart des Agentendienstes können auf dem Agenten die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden.
6 6  
7 -Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>doc:64.ACMP-Solutions.Security.Defender Management.Konfigurationsprofile.Konfigurationsprofil-Einstellungen.WebHome]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.
7 +Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>doc:ACMP.64.ACMP-Solutions.Security.Defender Management.Konfigurationsprofile.Konfigurationsprofil-Einstellungen.WebHome]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.
8 8  
9 9  {{figure}}
10 10  (% style="text-align:center" %)

Navigation

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community