ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang
Ausgangslage
Beim Neustart des Agentendienstes können auf dem Agent die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden.
Diese Ereignisse treten deshalb auf, weil im Defender Management die ASR-Regel „Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.
Gehen Sie folgendermaßen vor, um die Blockierung des Zugriffsrechtes zu deaktivieren:
Konfigurationsprofil auswählen
1. Navigieren Sie im Defender Management zu dem Konfigurationsprofil, zu welchem der Ausschluss hinzugefügt werden soll.
2. Klicken Sie dann in der Ribbonleiste auf Bearbeiten.
Datei oder Ordner dem Ausschluss hinzufügen
3. Navigieren Sie unter dem Tab Einstellungen zu Verringerung der Angriffsfläche > ASR-Regel Ausschlüsse.
4. Aktivieren Sie die Checkbox Dateien und Pfade aus den ASR-Regeln ausschließen.
5. Fügen Sie folgende Datei oder folgenden Ordner an.
| Datei | Ordner |
%PROGRAMFILES(x86)%\ACMPClient\ACMPClientService.exe Bzw. %SYSTEMDRIVE%\ACMPClient\ACMPClientService.exe | %PROGRAMFILES(x86)%\ACMPClient Bzw. %SYSTEMDRIVE%\ACMPClient |
Hinweis:
Geben Sie lediglich den Namen "ACMPClientService.exe" ohne den kompletten Pfad an, funktioniert die Deaktivierung der Blockierung nicht!
6. Klicken Sie auf Speichern.
Die ausgeschlossene Datei bzw. der ausgeschlossene Ordner lassen nun ein Blockieren der ASR-Regel nicht mehr zu.