ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang

1

2

10

= Ausgangslage =

Beim Neustart des Agentendienstes können auf dem Agent die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden.

10

11

Diese Ereignisse treten deshalb auf, weil im Defender Management die ASR-Regel „Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.

12

13

Gehen Sie folgendermaßen vor, um die Blockierung des Zugriffsrechtes zu deaktivieren:

14

15

= Konfigurationsprofil auswählen =

16

17

~1. Navigieren Sie im Defender Management zu dem Konfigurationsprofil, zu welchem der Ausschluss hinzugefügt werden soll.

18

19

2. Klicken Sie dann in der Ribbonleiste auf //Bearbeiten//.

20

21

= Datei oder Ordner dem Ausschluss hinzufügen =

22

23

3. Navigieren Sie unter dem Tab //Einstellungen// zu //Verringerung der Angriffsfläche > ASR-Regel Ausschlüsse.//

24

25

4. Aktivieren Sie die Checkbox //Dateien und Pfade aus den ASR-Regeln ausschließen//.

26

27

5. Fügen Sie folgende Datei oder folgenden Ordner an.

28

29

(% style="width:959.481px" %)

30

|(% style="width:459px" %)**Datei**|(% style="width:497px" %)**Ordner**

31

|(% style="width:459px" %)(((

32

%PROGRAMFILES(x86)%\ACMPClient\ACMPClientService.exe

Bzw.

%SYSTEMDRIVE%\ACMPClient\ACMPClientService.exe

37

)))|(% style="width:497px" %)(((

38

%PROGRAMFILES(x86)%\ACMPClient

Bzw.

%SYSTEMDRIVE%\ACMPClient

)))

Geben Sie lediglich den Namen "ACMPClientService.exe" ohne den kompletten Pfad an, funktioniert die Deaktivierung der Blockierung nicht!

(% style="text-align:center" %)

51

[[image:Defender ASR-Regel.PNG]]

52

53

54

Beispiel des ausgeschlossenen Ordnerpfades

6. Klicken Sie auf //Speichern//.

60

61

Die ausgeschlossene Datei bzw. der ausgeschlossene Ordner lassen nun ein Blockieren der ASR-Regel nicht mehr zu.

Wiki-Quellcode von ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang

Navigation

author	version	line-number	content
		1	{{aagon.priorisierung}}
		2	10
		3	{{/aagon.priorisierung}}
		4
		5	{{aagon.floatingbox/}}
		6
		7	= Ausgangslage =
		8
		9	Beim Neustart des Agentendienstes können auf dem Agent die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden.
		10
		11	Diese Ereignisse treten deshalb auf, weil im Defender Management die ASR-Regel „Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.
		12
		13	Gehen Sie folgendermaßen vor, um die Blockierung des Zugriffsrechtes zu deaktivieren:
		14
		15	= Konfigurationsprofil auswählen =
		16
		17	~1. Navigieren Sie im Defender Management zu dem Konfigurationsprofil, zu welchem der Ausschluss hinzugefügt werden soll.
		18
		19	2. Klicken Sie dann in der Ribbonleiste auf //Bearbeiten//.
		20
		21	= Datei oder Ordner dem Ausschluss hinzufügen =
		22
		23	3. Navigieren Sie unter dem Tab //Einstellungen// zu //Verringerung der Angriffsfläche > ASR-Regel Ausschlüsse.//
		24
		25	4. Aktivieren Sie die Checkbox //Dateien und Pfade aus den ASR-Regeln ausschließen//.
		26
		27	5. Fügen Sie folgende Datei oder folgenden Ordner an.
		28
		29	(% style="width:959.481px" %)
		30	\|(% style="width:459px" %)Datei\|(% style="width:497px" %)Ordner
		31	\|(% style="width:459px" %)(((
		32	%PROGRAMFILES(x86)%\ACMPClient\ACMPClientService.exe
		33
		34	Bzw.
		35
		36	%SYSTEMDRIVE%\ACMPClient\ACMPClientService.exe
		37	)))\|(% style="width:497px" %)(((
		38	%PROGRAMFILES(x86)%\ACMPClient
		39
		40	Bzw.
		41
		42	%SYSTEMDRIVE%\ACMPClient
		43	)))
		44
		45	{{aagon.infobox}}
		46	Geben Sie lediglich den Namen "ACMPClientService.exe" ohne den kompletten Pfad an, funktioniert die Deaktivierung der Blockierung nicht!
		47	{{/aagon.infobox}}
		48
		49	{{figure}}
		50	(% style="text-align:center" %)
		51	[[image:Defender ASR-Regel.PNG]]
		52
		53	{{figureCaption}}
		54	Beispiel des ausgeschlossenen Ordnerpfades
		55	{{/figureCaption}}
		56	{{/figure}}
		57
		58
		59	6. Klicken Sie auf //Speichern//.
		60
		61	Die ausgeschlossene Datei bzw. der ausgeschlossene Ordner lassen nun ein Blockieren der ASR-Regel nicht mehr zu.