マイクロソフトはパスワードについて賢くなっています

  • Microsoftは、ウイルス対策に非常に重要なルールを追加することにより、Windowsのセキュリティを強化しています。
  • 新しいASRルールがMicrosoftDefenderに導入されており、悪意のあるアプリがPCで使用されているパスワードを抽出するのを防ぐように設計されています。
  • 新しいASRルールの導入は、特にマルウェア攻撃に対してオペレーティングシステムをより安全にするためのMicrosoftの取り組みの一環です。
Microsoft Defenderは、WindowsDefenderのブランドを変更したバージョンです。

走っているなら Windows 11 または、最近のバージョンのWindows Serverである、オペレーティングシステムの一部であるMicrosoft Defenderウイルス対策ソフトウェアにより、パスワードの盗難を防ぐことができるようになりました。

この新機能は、Microsoft Defenderがファイルをスキャンしてマルウェアをブロックするために使用する一連のルールであるアンチウイルススキャンインターフェイス(ASR)ルールを介して導入されました。

このルールは、機械学習を使用して、WindowsのLSA機能にアクセスする必要はないが、とにかくそれらにアクセスしようとしている悪意のあるプロセスを識別します。

LSASSの運用方法

ローカルセキュリティ機関サブシステムサービス(LSASS)は、ログインやその他を処理するWindowsのプロセスです。 セキュリティ関連のタスク。マルウェアがLSA機能にアクセスできるようになると、メモリなどから資格情報を盗むことができます。 からのメソッド Windowsのセキュリティ機能.

MicrosoftのCredentialGuardは、コンピュータにログオンしているユーザーを認証し、Defenderコンポーネントでシステムを保護します。 これに関する問題は、すべてのプログラムと互換性があるわけではないため、すべての環境でCredentialGuardが有効になるわけではないことです。

攻撃者がユーザーのコンピューターを侵害したときに作成されるメモリダンプファイルには、ユーザーのパスワードとユーザー名が含まれている可能性があります。 このファイルは、この目的のために設計された特別なツールであるMimikatzを使用して作成されます。

攻撃者は、オペレーティングシステムに存在する正当なプロセスを使用して、システムへのフルアクセスを取得し、資格情報を含むメモリダンプをリモートの場所に送信できます。

プロセスは合法であり、アクションは有害ではないため、ディフェンダーはこのアクションをブロックしません。 Defenderは、プロセスの悪意のある使用のみを検出し、プロセスの作成または送信を防ぐことはできません。

MicrosoftDefenderの更新

Microsoftは、このセキュリティ問題に、次のような新しいセキュリティルールを導入することで対処しました。 攻撃対象領域の削減 (ASR)。

このルールにより、プログラムがLSASSを開くことができなくなり、プログラムがメモリダンプを作成することもできなくなります。 昇格された権限を持つプログラムがプロセスを開こうとしても、LSASSへのアクセスはブロックされます。

管理者権限を持つプログラムのみがLSASSを開くことができるため、このブロックは、コンピューターで実行されている可能性のある他の保護されたプロセスにそれらがアクセスすることも防ぎます。

このルールは、保護されたプロセス自体が自身のイメージを開くこともブロックし、保護されたメモリ内のデータをキャプチャまたは変更することを不可能にします。

このデフォルト設定により、このASRルールが有効になりますが、それに関連する他のすべてのルールはデフォルト状態のままになります。

長所と短所

Microsoft Defenderは、既知のマルウェアと未知のマルウェアの両方を検出する検出システムを使用しますが、絶対確実ではありません。 マルウェア作成者は、マルウェアが検出されないように保護するための新しい方法を常に模索しています。

ただし、コンピューターでサードパーティのウイルス対策ソフトウェアを使用している場合、ASRルールは使用できません。 ASRルールがないため、ハッカーはMicrosoftDefenderの制限とその除外パスを回避できます。

の数 Windowsセキュリティ研究者 すでにDefenderのASRルールをバイパスし、その除外パスを利用してLsass.exeファイルにアクセスしています。

レポートには、Defenderにはすでに複数の除外が設定されているため、たとえば、特定の管理を許可することが記載されています。 ユーザーがASRリクエストを要求して応答する—これにより、ハッカーは、ターゲットとする新しい方法を発見しながら、これらのルールを悪用することができます。 コンピューター。

これは、Windows11のEnterpriseバージョンとProバージョンのユーザーのみが改善されたASRルールによって保護されることを意味します。

ただし、新しいASRルールはセキュリティ研究者に歓迎されています。 Windowsの安全性が少し向上するため、盗まれたパスワードが少ないほど、誰もがその恩恵を受けることができます。

最新バージョンの Microsoft Defenderは、Microsoft Defender Previewと呼ばれ、デバイスのセキュリティを管理できるダッシュボードを提供します。

あなたによると、新しいマイクロソフトディフェンダーのアップグレードは、Windowsのセキュリティの面で有望ですか? 以下のコメントセクションであなたの考えを教えてください。

このWindows8、10アプリを使用して、速読を改善します

このWindows8、10アプリを使用して、速読を改善しますその他

さまざまなPCの問題を修正するには、DriverFixをお勧めします。このソフトウェアは、ドライバーの稼働を維持するため、一般的なコンピューターエラーやハードウェア障害からユーザーを保護します。 3つの簡単なステップで今すぐすべてのドライバーをチェックしてください:DriverFixをダウンロード (検証済みのダウンロードファイル)。 クリック スキャン開始 問題のあるすべてのドライバーを...

続きを読む
Chromeの新しいスムーズスクロール機能は今年後半に登場します

Chromeの新しいスムーズスクロール機能は今年後半に登場しますその他

Chromeの問題を修正する代わりに、より優れたブラウザを試すことができます。 オペラあなたはより良いブラウザに値する! 毎日3億5000万人がOperaを使用しています。これは、さまざまな組み込みパッケージ、強化されたリソース消費、優れたデザインを備えた本格的なナビゲーションエクスペリエンスです。 Operaでできることは次のとおりです。簡単な移行:Operaアシスタントを使用して、ブック...

続きを読む
TeamViewer 12が更新され、ファイルをより高速に送信できるようになりました

TeamViewer 12が更新され、ファイルをより高速に送信できるようになりましたその他

TeamViewerは、ユーザーが別のコンピュータを制御できるようにするリモートコントロールサービスです。 使って TeamViewer、チームリーダーは、別のメンバーのコンピューターまたはモバイルデバイスをリモート制御し、進行中の作業に変更を直接実装できます。 これは、問題をリモートで解決するための優れた方法でもあります。一種の「ここで、やらせてください」というアプローチです。このサービス...

続きを読む