Änderungen von Dokument ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang
Zuletzt geändert von Jannis Klein am 2024/03/19 17:57
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -9,8 +9,8 @@ 9 9 Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>url:https://manual.aagon.com/acmp/de/61/profil-einstellungen.htm#blockieren]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht. 10 10 11 11 12 +(% style="text-align:center" %) 12 12 [[image:https://manual.aagon.com/acmp/de/61/ereigniseigenschaften_1121_zoom80.png||alt="Ereigniseigenschaften - Ereignis 1121" height="418" width="598"]] 13 - 14 14 Ereigniseigenschaften - Ereignis 1121 15 15 16 16