火星科技网您的位置:首页 >互联网+ >

微软希望让窃取Windows密码变得更加困难

导读 微软防病毒程序中的网络安全规则将很快默认运行,以防止威胁者窃取Windows凭据。网络安全研究员Kostas首次发现了微软攻击面减少(ASR)规则更

微软防病毒程序中的网络安全规则将很快默认运行,以防止威胁者窃取Windows凭据。网络安全研究员Kostas首次发现了微软攻击面减少(ASR)规则更新中的变化。

威胁行为者通常会窃取凭据或使用各种漏洞,以便横向通过已经受到攻击的网络。开展这项业务的一种方法是获得管理员访问权限,然后转储本地安全机构服务器服务(LSASS)进程的内存,因为它保存Windows凭据的NTLM哈希值。

这些稍后可能会被暴力破解,但为了防止LSASS内存转储不被窥探,微软通过CredentialGuard阻止对其进行访问,它将进程隔离在虚拟化容器中。

但是,正如BleepingComputer指出的那样,该功能有时会导致端点上的驱动程序冲突,这就是许多组织选择不启用它的原因。

现在,为了解决这个问题,微软将默认启用名为“阻止从Windows本地安全机构子系统窃取凭据”的ASR规则。

它可以防止进程打开LSASS进程,即使具有管理员权限也是如此。

“攻击面减少(ASR)规则“阻止从Windows本地安全机构子系统(lsass.exe)窃取凭据”的默认状态将从未配置更改为已配置,默认模式设置为阻止。所有其他ASR规则将保持默认状态:未配置。”更新后的文档中写道。

“规则中已经加入了额外的过滤逻辑,以减少最终用户通知。客户可以将规则配置为审核、警告或禁用模式,这将覆盖默认模式。此规则的功能是相同的,无论该规则是在默认开启模式下配置,或者如果您手动启用阻止模式。"

标签:

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。