Wiki-Quellcode von ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang
Zuletzt geändert von Jannis Klein am 2024/03/19 17:57
Verstecke letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
 |
1.1 | 1 | {{aagon.priorisierung}} |
| |
4.1 | 2 | 10 |
| |
1.1 | 3 | {{/aagon.priorisierung}} |
| |
5.1 | 4 | |
| 5 | Beim Neustart des Agentendienstes können auf dem Agenten die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden. | ||
| 6 | |||
| |
40.1 | 7 | Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>doc:ACMP.64.ACMP-Solutions.Security.Defender Management.Konfigurationsprofile.Konfigurationsprofil-Einstellungen.WebHome]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht. |
| |
5.1 | 8 | |
| |
20.1 | 9 | {{figure}} |
| |
6.1 | 10 | (% style="text-align:center" %) |
| |
20.1 | 11 | [[image:ereigniseigenschaften_1121_zoom80.png]] |
| |
18.1 | 12 | |
| |
20.1 | 13 | {{figureCaption}} |
| |
5.1 | 14 | Ereigniseigenschaften - Ereignis 1121 |
| |
20.1 | 15 | {{/figureCaption}} |
| 16 | {{/figure}} | ||
| |
5.1 | 17 | |
| |
18.1 | 18 | Sie umgehen diese Blockade, indem Sie die lsass.exe unter //Konfigurationsprofile > ASR-Regel Ausschlüsse// entweder als ganzen Ordner oder als Dateipfad einfügen. Aktivieren Sie dann noch die Checkbox// Dateien und Pfade aus den ASR-Regeln ausschließen//. |