Wiki source code of ASR-Regeln: Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang
Last modified by Sabrina V. on 2024/10/11 08:51
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{aagon.priorisierung}} | ||
| 2 | 10 | ||
| 3 | {{/aagon.priorisierung}} | ||
| 4 | |||
| 5 | Beim Neustart des Agentendienstes können auf dem Agenten die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden. | ||
| 6 | |||
| 7 | Diese Ereignisse treten deshalb auf, weil die ASR-Regel „[[Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde>>doc:ACMP.67.ACMP-Solutions.Security.Defender Management.WebHome]]“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht. | ||
| 8 | |||
| 9 | |||
| 10 | (% style="text-align:center" %) | ||
| 11 | [[image:https://manual.aagon.com/acmp/de/61/ereigniseigenschaften_1121_zoom80.png||alt="Ereigniseigenschaften - Ereignis 1121" height="418" width="598"]] | ||
| 12 | Ereigniseigenschaften - Ereignis 1121 | ||
| 13 | |||
| 14 | Sie umgehen diese Blockade, indem Sie die lsass.exe unter Konfigurationsprofile > ASR-Regel Ausschlüsse entweder als ganzen Ordner oder als Dateipfad einfügen. Aktivieren Sie dann noch die Checkbox Dateien und Pfade aus den ASR-Regeln ausschließen. |