- „Microsoft“ stiprina „Windows“ saugumą įtraukdama labai svarbią antivirusinę taisyklę.
- „Microsoft Defender“ pristatoma nauja ASR taisyklė, skirta neleisti kenkėjiškoms programoms išgauti kompiuteryje naudojamų slaptažodžių.
- Naujos ASR taisyklės įvedimas yra dalis „Microsoft“ pastangų padaryti operacinę sistemą saugesnę, ypač nuo kenkėjiškų programų atakų.
Jei bėgate Windows 11 arba naujausia „Windows Server“ versija, „Microsoft Defender“ antivirusinė programa, kuri yra operacinės sistemos dalis, dabar gali apsaugoti nuo slaptažodžių vagystės.
Naujoji funkcija buvo įdiegta naudojant Antimalware Scan Interface (ASR) taisyklę, kuri yra taisyklių rinkinys, kurį Microsoft Defender naudoja failams nuskaityti ir kenkėjiškų programų blokavimui.
Taisyklė naudoja mašininį mokymąsi, kad nustatytų kenkėjiškus procesus, kuriems nereikia prieigos prie LSA funkcijų sistemoje Windows, bet kurie vis tiek bando juos pasiekti.
Kaip veikia LSASS
Vietinės saugos institucijos posistemio tarnyba (LSASS) yra „Windows“ procesas, tvarkantis prisijungimus ir kitus duomenis su sauga susijusias užduotis, todėl kai kenkėjiška programa turi prieigą prie LSA funkcijų, ji gali pavogti kredencialus iš atminties ar kitų metodai iš
„Windows“ saugos funkcijos.„Microsoft“ kredencialų apsauga autentifikuoja vartotojus, prisijungiančius prie kompiuterio, apsaugodama sistemą su „Defender“ komponentu. Problema ta, kad ne visose aplinkose bus įjungta Credential Guard, nes ji nesuderinama su visomis programomis.
Atminties ištraukos faile, kuris sukuriamas užpuolikui įsilaužus į vartotojo kompiuterį, gali būti vartotojo slaptažodis ir vartotojo vardas. Šis failas yra įmanomas naudojant Mimikatz, specialų įrankį, sukurtą šiam tikslui.
Užpuolikai gali naudoti teisėtą operacinėje sistemoje esantį procesą, kad gautų visišką prieigą prie sistemos ir perduotų atminties išklotines su kredencialais į nutolusias vietas.
Gynėjas neblokuos šio veiksmo, nes procesas yra teisėtas ir veiksmas nėra žalingas. Defender aptinka tik kenkėjišką procesų naudojimą ir negali užkirsti kelio jų kūrimui ar perdavimui.
„Microsoft Defender“ naujinimai
„Microsoft“ išsprendė šią saugos problemą įdiegdama naują saugos taisyklę, vadinamą Atakos paviršiaus mažinimas (ASR).
Ši taisyklė neleis programoms atidaryti LSASS, o savo ruožtu taip pat neleis joms sukurti atminties iškelties. Jis blokuos prieigą prie LSASS, net jei programa, turinti padidintas teises, bandys atidaryti procesą.
Kadangi LSASS gali atidaryti tik programos, turinčios administratoriaus teises, šis blokas taip pat neleidžia joms pasiekti kitų apsaugotų procesų, kurie gali veikti kompiuteryje.
Taisyklė taip pat neleidžia pačiam apsaugotam procesui atidaryti savo vaizdą, todėl neįmanoma užfiksuoti ar modifikuoti duomenų saugomoje atmintyje.
Dėl šio numatytojo nustatymo ši ASR taisyklė įgalinama, o visos kitos su ja susijusios taisyklės išlieka numatytosios būsenos.
Privalumai ir trūkumai
„Microsoft Defender“ naudoja aptikimo sistemą, kuri aptinka ir žinomą, ir nežinomą kenkėjišką programą, tačiau ji nėra patikima. Kenkėjiškų programų kūrėjai visada ieško naujų būdų, kaip apsaugoti savo kenkėjiškas programas nuo aptikimo.
Tačiau jei kompiuteryje naudojate trečiosios šalies antivirusinę programinę įrangą, ASR taisyklė negalima. ASR taisyklės nebuvimas leidžia įsilaužėliams apeiti „Microsoft Defender“ apribojimą ir jos pašalinimo kelius.
Nemažai „Windows“ saugos tyrinėtojai jau apejo ASR taisyklę Defender, išnaudodami jos išskyrimo kelius, kad gautų prieigą prie failo Lsass.exe.
Ataskaitoje minima, kad „Defender“ jau turi keletą išimčių, pavyzdžiui, leidžia tam tikras administracines vartotojai gali klausti ir atsakyti į ASR užklausas – tai leidžia įsilaužėliams pasinaudoti šiomis taisyklėmis, kol jie atranda naujus taikymo būdus. kompiuteriai.
Tai reiškia, kad patobulinta ASR taisykle bus apsaugoti tik „Windows 11“ įmonės ir „Pro“ versijų vartotojai.
Tačiau saugumo tyrinėtojai palankiai įvertino naują ASR taisyklę. Kadangi tai daro „Windows“ šiek tiek saugesnę, kuo mažiau pavogtų slaptažodžių, tuo geriau, nes iš to naudosis visi.
Naujausia versija Microsoft Defender, žinoma kaip „Microsoft Defender Preview“, siūlo prietaisų skydelį, kuriame galite valdyti savo įrenginių saugą.
Ar, jūsų nuomone, naujasis „Microsoft“ gynėjo atnaujinimas yra perspektyvus „Windows“ saugumo požiūriu? Pateikite mums savo mintis toliau pateiktame komentarų skyriuje.
