Änderungen von Dokument ASR-Regeln: Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang
Zuletzt geändert von Sabrina V. am 2024/10/11 08:51
Von Version 2.2
bearbeitet von Sabrina V.
am 2024/10/08 11:36
am 2024/10/08 11:36
Änderungskommentar:
Update document after refactoring.
Auf Version 7.1
bearbeitet von Sabrina V.
am 2024/10/11 08:50
am 2024/10/11 08:50
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -4,7 +4,7 @@ 4 4 5 5 Beim Neustart des Agentendienstes können auf dem Agenten die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden. 6 6 7 -Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>doc:ACMP.6 3.ACMP-Solutions.Client-Management.Defender Management.Konfigurationsprofile.Konfigurationsprofil-Einstellungen.WebHome]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht.7 +Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>doc:ACMP.67.ACMP-Solutions.Security.Defender Management.WebHome]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht. 8 8 9 9 10 10 (% style="text-align:center" %)