Wiki-Quellcode von ASR-Regeln: Die Ereignis-ID’s 1121 und 1122 treten in Verbindung mit einer lsass.exe auf und blockieren den Vorgang
Zuletzt geändert von Steffi F am 2025/10/08 10:08
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{aagon.floatingbox/}} | ||
| 2 | |||
| 3 | = Ausgangslage = | ||
| 4 | |||
| 5 | Beim Neustart des Agentendienstes können auf dem Agent die Bedrohungen oder Warnungen mit den Ereignis-ID’s 1121 und 1122 ausgelöst werden. | ||
| 6 | |||
| 7 | Diese Ereignisse treten deshalb auf, weil im Defender Management die ASR-Regel „Blockieren des Diebstahls von Anmeldeinformationen Windows lokalen Sicherheitsbehörde“ eingreift. Diese Regel verhindert einen direkten Zugriff von nicht vertrauenswürdigen Prozessen auf den LSASS-Speicher. Versucht ein Prozess also durch die OpenProcess()-Funktion mit dem Zugriffsrecht von PROCESS_VM_READ auf LSASS zuzugreifen, blockiert die ASR-Regel dieses Zugriffsrecht. | ||
| 8 | |||
| 9 | Gehen Sie folgendermaßen vor, um die Blockierung des Zugriffsrechtes zu deaktivieren: | ||
| 10 | |||
| 11 | = Konfigurationsprofil auswählen = | ||
| 12 | |||
| 13 | ~1. Navigieren Sie im Defender Management zu dem Konfigurationsprofil, zu welchem der Ausschluss hinzugefügt werden soll. | ||
| 14 | |||
| 15 | 2. Klicken Sie dann in der Ribbonleiste auf //Bearbeiten//. | ||
| 16 | |||
| 17 | = Datei oder Ordner dem Ausschluss hinzufügen = | ||
| 18 | |||
| 19 | 3. Navigieren Sie unter dem Tab //Einstellungen// zu //Verringerung der Angriffsfläche > ASR-Regel Ausschlüsse.// | ||
| 20 | |||
| 21 | 4. Aktivieren Sie die Checkbox //Dateien und Pfade aus den ASR-Regeln ausschließen//. | ||
| 22 | |||
| 23 | 5. Fügen Sie folgende Datei oder folgenden Ordner an. | ||
| 24 | |||
| 25 | (% style="width:959.481px" %) | ||
| 26 | |(% style="width:459px" %)**Datei**|(% style="width:497px" %)**Ordner** | ||
| 27 | |(% style="width:459px" %)((( | ||
| 28 | %PROGRAMFILES(x86)%\ACMPClient\ACMPClientService.exe | ||
| 29 | |||
| 30 | Bzw. | ||
| 31 | |||
| 32 | %SYSTEMDRIVE%\ACMPClient\ACMPClientService.exe | ||
| 33 | )))|(% style="width:497px" %)((( | ||
| 34 | %PROGRAMFILES(x86)%\ACMPClient | ||
| 35 | |||
| 36 | Bzw. | ||
| 37 | |||
| 38 | %SYSTEMDRIVE%\ACMPClient | ||
| 39 | ))) | ||
| 40 | |||
| 41 | {{aagon.infobox}} | ||
| 42 | Geben Sie lediglich den Namen "ACMPClientService.exe" ohne den kompletten Pfad an, funktioniert die Deaktivierung der Blockierung nicht! | ||
| 43 | {{/aagon.infobox}} | ||
| 44 | |||
| 45 | {{figure}} | ||
| 46 | [[image:Defender ASR-Regel.PNG||data-xwiki-image-style-alignment="center"]] | ||
| 47 | |||
| 48 | {{figureCaption}} | ||
| 49 | Beispiel des ausgeschlossenen Ordnerpfades | ||
| 50 | {{/figureCaption}} | ||
| 51 | {{/figure}} | ||
| 52 | |||
| 53 | |||
| 54 | 6. Klicken Sie auf //Speichern//. | ||
| 55 | |||
| 56 | Die ausgeschlossene Datei bzw. der ausgeschlossene Ordner lassen nun ein Blockieren der ASR-Regel nicht mehr zu. |