マイクロソフトはパスワードについて賢くなっています

  • Microsoftは、ウイルス対策に非常に重要なルールを追加することにより、Windowsのセキュリティを強化しています。
  • 新しいASRルールがMicrosoftDefenderに導入されており、悪意のあるアプリがPCで使用されているパスワードを抽出するのを防ぐように設計されています。
  • 新しいASRルールの導入は、特にマルウェア攻撃に対してオペレーティングシステムをより安全にするためのMicrosoftの取り組みの一環です。
Microsoft Defenderは、WindowsDefenderのブランドを変更したバージョンです。

走っているなら Windows 11 または、最近のバージョンのWindows Serverである、オペレーティングシステムの一部であるMicrosoft Defenderウイルス対策ソフトウェアにより、パスワードの盗難を防ぐことができるようになりました。

この新機能は、Microsoft Defenderがファイルをスキャンしてマルウェアをブロックするために使用する一連のルールであるアンチウイルススキャンインターフェイス(ASR)ルールを介して導入されました。

このルールは、機械学習を使用して、WindowsのLSA機能にアクセスする必要はないが、とにかくそれらにアクセスしようとしている悪意のあるプロセスを識別します。

LSASSの運用方法

ローカルセキュリティ機関サブシステムサービス(LSASS)は、ログインやその他を処理するWindowsのプロセスです。 セキュリティ関連のタスク。マルウェアがLSA機能にアクセスできるようになると、メモリなどから資格情報を盗むことができます。 からのメソッド Windowsのセキュリティ機能.

MicrosoftのCredentialGuardは、コンピュータにログオンしているユーザーを認証し、Defenderコンポーネントでシステムを保護します。 これに関する問題は、すべてのプログラムと互換性があるわけではないため、すべての環境でCredentialGuardが有効になるわけではないことです。

攻撃者がユーザーのコンピューターを侵害したときに作成されるメモリダンプファイルには、ユーザーのパスワードとユーザー名が含まれている可能性があります。 このファイルは、この目的のために設計された特別なツールであるMimikatzを使用して作成されます。

攻撃者は、オペレーティングシステムに存在する正当なプロセスを使用して、システムへのフルアクセスを取得し、資格情報を含むメモリダンプをリモートの場所に送信できます。

プロセスは合法であり、アクションは有害ではないため、ディフェンダーはこのアクションをブロックしません。 Defenderは、プロセスの悪意のある使用のみを検出し、プロセスの作成または送信を防ぐことはできません。

MicrosoftDefenderの更新

Microsoftは、このセキュリティ問題に、次のような新しいセキュリティルールを導入することで対処しました。 攻撃対象領域の削減 (ASR)。

このルールにより、プログラムがLSASSを開くことができなくなり、プログラムがメモリダンプを作成することもできなくなります。 昇格された権限を持つプログラムがプロセスを開こうとしても、LSASSへのアクセスはブロックされます。

管理者権限を持つプログラムのみがLSASSを開くことができるため、このブロックは、コンピューターで実行されている可能性のある他の保護されたプロセスにそれらがアクセスすることも防ぎます。

このルールは、保護されたプロセス自体が自身のイメージを開くこともブロックし、保護されたメモリ内のデータをキャプチャまたは変更することを不可能にします。

このデフォルト設定により、このASRルールが有効になりますが、それに関連する他のすべてのルールはデフォルト状態のままになります。

長所と短所

Microsoft Defenderは、既知のマルウェアと未知のマルウェアの両方を検出する検出システムを使用しますが、絶対確実ではありません。 マルウェア作成者は、マルウェアが検出されないように保護するための新しい方法を常に模索しています。

ただし、コンピューターでサードパーティのウイルス対策ソフトウェアを使用している場合、ASRルールは使用できません。 ASRルールがないため、ハッカーはMicrosoftDefenderの制限とその除外パスを回避できます。

の数 Windowsセキュリティ研究者 すでにDefenderのASRルールをバイパスし、その除外パスを利用してLsass.exeファイルにアクセスしています。

レポートには、Defenderにはすでに複数の除外が設定されているため、たとえば、特定の管理を許可することが記載されています。 ユーザーがASRリクエストを要求して応答する—これにより、ハッカーは、ターゲットとする新しい方法を発見しながら、これらのルールを悪用することができます。 コンピューター。

これは、Windows11のEnterpriseバージョンとProバージョンのユーザーのみが改善されたASRルールによって保護されることを意味します。

ただし、新しいASRルールはセキュリティ研究者に歓迎されています。 Windowsの安全性が少し向上するため、盗まれたパスワードが少ないほど、誰もがその恩恵を受けることができます。

最新バージョンの Microsoft Defenderは、Microsoft Defender Previewと呼ばれ、デバイスのセキュリティを管理できるダッシュボードを提供します。

あなたによると、新しいマイクロソフトディフェンダーのアップグレードは、Windowsのセキュリティの面で有望ですか? 以下のコメントセクションであなたの考えを教えてください。

Windows 10 Mobileビルド15210は、Glance画面と同期の問題を修正します

Windows 10 Mobileビルド15210は、Glance画面と同期の問題を修正しますその他

Windows 10Mobileビルド15210 Fast RingInsider向けに公開されました。 以前のビルドリリースと同様に、ビルド15210は新しい機能を提供しませんが、いくつかのバグ修正を行います。特に、このビルドは Glance画面の問題 時計が更新されなかった場所。 Microsoftはトークンの問題も修正しました。これは、デバイスがサービスと同期するときに、テキストメッセ...

続きを読む
Windows 10 April Updateは、ゲーム中の通知を無効にします

Windows 10 April Updateは、ゲーム中の通知を無効にしますその他

Windows 10 April Updateがここにあり、それがもたらすようです ゲーマーにとって朗報. アップデートは公開される予定でした 4月10日から しかし、マイクロソフトはいくつかの予期しないためにそれを遅らせました BSODエラー. 新しいOSバージョンは、ユーザーが間違いなく気に入るであろう多くの改善をもたらします。実際、私たちが言及している改善は、通知の煩わしさを以前よりも...

続きを読む
VitalystがWindows8、10リモートサポートアプリを起動

VitalystがWindows8、10リモートサポートアプリを起動その他

Vitalystは、ビジネスユーザー向けのエキスパートアプリケーションおよびデバイスサポートの最高のプロバイダーの1つであり、現在は は、Microsoftに関連するあらゆるもののリモートサポートツールとして機能する新しいWindows8アプリをリリースしました 製品。 詳細については、以下をお読みください。Windows8または最新のWindows8.1に切り替えたばかりのユーザーは、最新...

続きを読む