マイクロソフトはパスワードについて賢くなっています

  • Microsoftは、ウイルス対策に非常に重要なルールを追加することにより、Windowsのセキュリティを強化しています。
  • 新しいASRルールがMicrosoftDefenderに導入されており、悪意のあるアプリがPCで使用されているパスワードを抽出するのを防ぐように設計されています。
  • 新しいASRルールの導入は、特にマルウェア攻撃に対してオペレーティングシステムをより安全にするためのMicrosoftの取り組みの一環です。
Microsoft Defenderは、WindowsDefenderのブランドを変更したバージョンです。

走っているなら Windows 11 または、最近のバージョンのWindows Serverである、オペレーティングシステムの一部であるMicrosoft Defenderウイルス対策ソフトウェアにより、パスワードの盗難を防ぐことができるようになりました。

この新機能は、Microsoft Defenderがファイルをスキャンしてマルウェアをブロックするために使用する一連のルールであるアンチウイルススキャンインターフェイス(ASR)ルールを介して導入されました。

このルールは、機械学習を使用して、WindowsのLSA機能にアクセスする必要はないが、とにかくそれらにアクセスしようとしている悪意のあるプロセスを識別します。

LSASSの運用方法

ローカルセキュリティ機関サブシステムサービス(LSASS)は、ログインやその他を処理するWindowsのプロセスです。 セキュリティ関連のタスク。マルウェアがLSA機能にアクセスできるようになると、メモリなどから資格情報を盗むことができます。 からのメソッド Windowsのセキュリティ機能.

MicrosoftのCredentialGuardは、コンピュータにログオンしているユーザーを認証し、Defenderコンポーネントでシステムを保護します。 これに関する問題は、すべてのプログラムと互換性があるわけではないため、すべての環境でCredentialGuardが有効になるわけではないことです。

攻撃者がユーザーのコンピューターを侵害したときに作成されるメモリダンプファイルには、ユーザーのパスワードとユーザー名が含まれている可能性があります。 このファイルは、この目的のために設計された特別なツールであるMimikatzを使用して作成されます。

攻撃者は、オペレーティングシステムに存在する正当なプロセスを使用して、システムへのフルアクセスを取得し、資格情報を含むメモリダンプをリモートの場所に送信できます。

プロセスは合法であり、アクションは有害ではないため、ディフェンダーはこのアクションをブロックしません。 Defenderは、プロセスの悪意のある使用のみを検出し、プロセスの作成または送信を防ぐことはできません。

MicrosoftDefenderの更新

Microsoftは、このセキュリティ問題に、次のような新しいセキュリティルールを導入することで対処しました。 攻撃対象領域の削減 (ASR)。

このルールにより、プログラムがLSASSを開くことができなくなり、プログラムがメモリダンプを作成することもできなくなります。 昇格された権限を持つプログラムがプロセスを開こうとしても、LSASSへのアクセスはブロックされます。

管理者権限を持つプログラムのみがLSASSを開くことができるため、このブロックは、コンピューターで実行されている可能性のある他の保護されたプロセスにそれらがアクセスすることも防ぎます。

このルールは、保護されたプロセス自体が自身のイメージを開くこともブロックし、保護されたメモリ内のデータをキャプチャまたは変更することを不可能にします。

このデフォルト設定により、このASRルールが有効になりますが、それに関連する他のすべてのルールはデフォルト状態のままになります。

長所と短所

Microsoft Defenderは、既知のマルウェアと未知のマルウェアの両方を検出する検出システムを使用しますが、絶対確実ではありません。 マルウェア作成者は、マルウェアが検出されないように保護するための新しい方法を常に模索しています。

ただし、コンピューターでサードパーティのウイルス対策ソフトウェアを使用している場合、ASRルールは使用できません。 ASRルールがないため、ハッカーはMicrosoftDefenderの制限とその除外パスを回避できます。

の数 Windowsセキュリティ研究者 すでにDefenderのASRルールをバイパスし、その除外パスを利用してLsass.exeファイルにアクセスしています。

レポートには、Defenderにはすでに複数の除外が設定されているため、たとえば、特定の管理を許可することが記載されています。 ユーザーがASRリクエストを要求して応答する—これにより、ハッカーは、ターゲットとする新しい方法を発見しながら、これらのルールを悪用することができます。 コンピューター。

これは、Windows11のEnterpriseバージョンとProバージョンのユーザーのみが改善されたASRルールによって保護されることを意味します。

ただし、新しいASRルールはセキュリティ研究者に歓迎されています。 Windowsの安全性が少し向上するため、盗まれたパスワードが少ないほど、誰もがその恩恵を受けることができます。

最新バージョンの Microsoft Defenderは、Microsoft Defender Previewと呼ばれ、デバイスのセキュリティを管理できるダッシュボードを提供します。

あなたによると、新しいマイクロソフトディフェンダーのアップグレードは、Windowsのセキュリティの面で有望ですか? 以下のコメントセクションであなたの考えを教えてください。

KB4503293は、Windows 10v1903のセキュリティの脆弱性に対処します

KB4503293は、Windows 10v1903のセキュリティの脆弱性に対処しますその他

年間2億人のユーザーを支援する時間節約のソフトウェアとハ​​ードウェアの専門知識。 技術的な生活を向上させるためのハウツーアドバイス、ニュース、ヒントをご案内します。さまざまなPCの問題を修正するには、RestoroPC修復ツールをお勧めします。このソフトウェアは、一般的なコンピューターエラーを修復し、ファイルの損失、マルウェア、ハードウェア障害からユーザーを保護し、最大のパフォーマンスを得...

続きを読む
ユーザーは、Windows 10 CreatorsUpdateがPCの速度を低下させると報告しています

ユーザーは、Windows 10 CreatorsUpdateがPCの速度を低下させると報告していますその他

新しいWindows10 Creators Updateは、PCのパフォーマンスを向上させ、より高速で信頼性の高いWindows10エクスペリエンスを提供することになっています。 残念ながら、多くのユーザーは Windows 10 CreatorsUpdateにアップグレードしました コンピュータを高速で信頼性の高いものにする一連の問題に取り組んでいます。がある 複数の問題 これは、数か月の...

続きを読む
修正:Windows10でのOutlookエラー0x8004210B

修正:Windows10でのOutlookエラー0x8004210Bその他

Microsoft Outlookは、Microsoftによって作成されたソフトウェアツールです。 すべてのソフトウェアと同様に、問題やエラーは避けられません。これはまさにOutlookのエラー0x8004210Bの場合です。 新しいアカウントを設定して、簡単に修正できます。より良いメールクライアントが必要ですか? もしそうなら、これらをチェックしてください 複数のアカウントをサポートする電...

続きを読む