ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang

Zuletzt geändert von Sabrina V. am 2024/08/22 13:10

Beim Neustart des Agentendienstes können auf dem Agenten die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden.

Diese Ereignisse treten deshalb auf, weil die ASR-Regel „Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.

ereigniseigenschaften_1121_zoom80.png

Ereigniseigenschaften - Ereignis 1121

Sie umgehen diese Blockade, indem Sie die lsass.exe unter Konfigurationsprofile > ASR-Regel Ausschlüsse entweder als ganzen Ordner oder als Dateipfad einfügen. Aktivieren Sie dann noch die Checkbox Dateien und Pfade aus den ASR-Regeln ausschließen.

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community