ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang

Zuletzt geändert von Sabrina V. am 2024/08/21 10:55

Ausgangslage

Beim Neustart des Agentendienstes können auf dem Agent die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden.

Diese Ereignisse treten deshalb auf, weil im Defender Management die ASR-Regel „Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.

Gehen Sie folgendermaßen vor, um die Blockierung des Zugriffsrechtes zu deaktivieren:

Konfigurationsprofil auswählen

1. Navigieren Sie im Defender Management zu dem Konfigurationsprofil, zu welchem der Ausschluss hinzugefügt werden soll.

2. Klicken Sie dann in der Ribbonleiste auf Bearbeiten.

Datei oder Ordner dem Ausschluss hinzufügen

3. Navigieren Sie unter dem Tab Einstellungen zu Verringerung der Angriffsfläche > ASR-Regel Ausschlüsse.

4. Aktivieren Sie die Checkbox Dateien und Pfade aus den ASR-Regeln ausschließen.

5. Fügen Sie folgende Datei oder folgenden Ordner an.

DateiOrdner

%PROGRAMFILES(x86)%\ACMPClient\ACMPClientService.exe

Bzw.

%SYSTEMDRIVE%\ACMPClient\ACMPClientService.exe

%PROGRAMFILES(x86)%\ACMPClient

Bzw.

%SYSTEMDRIVE%\ACMPClient

Hinweis  Hinweis: 

Geben Sie lediglich den Namen "ACMPClientService.exe" ohne den kompletten Pfad an, funktioniert die Deaktivierung der Blockierung nicht!

Defender ASR-Regel.PNG

Beispiel des ausgeschlossenen Ordnerpfades

6. Klicken Sie auf Speichern.

Die ausgeschlossene Datei bzw. der ausgeschlossene Ordner lassen nun ein Blockieren der ASR-Regel nicht mehr zu.

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community