Wiki-Quellcode von ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang
Zuletzt geändert von Sabrina V. am 2024/10/23 06:23
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{aagon.priorisierung}} | ||
| 2 | 10 | ||
| 3 | {{/aagon.priorisierung}} | ||
| 4 | |||
| 5 | {{aagon.floatingbox/}} | ||
| 6 | |||
| 7 | = Ausgangslage = | ||
| 8 | |||
| 9 | Beim Neustart des Agentendienstes können auf dem Agent die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden. | ||
| 10 | |||
| 11 | Diese Ereignisse treten deshalb auf, weil im Defender Management die ASR-Regel „Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht. | ||
| 12 | |||
| 13 | Gehen Sie folgendermaßen vor, um die Blockierung des Zugriffsrechtes zu deaktivieren: | ||
| 14 | |||
| 15 | = Konfigurationsprofil auswählen = | ||
| 16 | |||
| 17 | ~1. Navigieren Sie im Defender Management zu dem Konfigurationsprofil, zu welchem der Ausschluss hinzugefügt werden soll. | ||
| 18 | |||
| 19 | 2. Klicken Sie dann in der Ribbonleiste auf //Bearbeiten//. | ||
| 20 | |||
| 21 | = Datei oder Ordner dem Ausschluss hinzufügen = | ||
| 22 | |||
| 23 | 3. Navigieren Sie unter dem Tab //Einstellungen// zu //Verringerung der Angriffsfläche > ASR-Regel Ausschlüsse.// | ||
| 24 | |||
| 25 | 4. Aktivieren Sie die Checkbox //Dateien und Pfade aus den ASR-Regeln ausschließen//. | ||
| 26 | |||
| 27 | 5. Fügen Sie folgende Datei oder folgenden Ordner an. | ||
| 28 | |||
| 29 | (% style="width:959.481px" %) | ||
| 30 | |(% style="width:459px" %)**Datei**|(% style="width:497px" %)**Ordner** | ||
| 31 | |(% style="width:459px" %)((( | ||
| 32 | %PROGRAMFILES(x86)%\ACMPClient\ACMPClientService.exe | ||
| 33 | |||
| 34 | Bzw. | ||
| 35 | |||
| 36 | %SYSTEMDRIVE%\ACMPClient\ACMPClientService.exe | ||
| 37 | )))|(% style="width:497px" %)((( | ||
| 38 | %PROGRAMFILES(x86)%\ACMPClient | ||
| 39 | |||
| 40 | Bzw. | ||
| 41 | |||
| 42 | %SYSTEMDRIVE%\ACMPClient | ||
| 43 | ))) | ||
| 44 | |||
| 45 | {{aagon.infobox}} | ||
| 46 | Geben Sie lediglich den Namen "ACMPClientService.exe" ohne den kompletten Pfad an, funktioniert die Deaktivierung der Blockierung nicht! | ||
| 47 | {{/aagon.infobox}} | ||
| 48 | |||
| 49 | {{figure}} | ||
| 50 | (% style="text-align:center" %) | ||
| 51 | [[image:Defender ASR-Regel.PNG]] | ||
| 52 | |||
| 53 | {{figureCaption}} | ||
| 54 | Beispiel des ausgeschlossenen Ordnerpfades | ||
| 55 | {{/figureCaption}} | ||
| 56 | {{/figure}} | ||
| 57 | |||
| 58 | |||
| 59 | 6. Klicken Sie auf //Speichern//. | ||
| 60 | |||
| 61 | Die ausgeschlossene Datei bzw. der ausgeschlossene Ordner lassen nun ein Blockieren der ASR-Regel nicht mehr zu. |