Microsoft kļūst gudrs attiecībā uz parolēm

Ja jūs skrienat Windows 11 vai jaunākā Windows Server versija, Microsoft Defender antivīruss, kas ir daļa no operētājsistēmas, tagad var novērst jūsu paroļu nozagšanu.

Jaunā funkcija ir ieviesta, izmantojot Antimalware Scan Interface (ASR) noteikumu, kas ir noteikumu kopums, ko Microsoft Defender izmanto failu skenēšanai un ļaunprātīgas programmatūras bloķēšanai.

Noteikums izmanto mašīnmācīšanos, lai identificētu ļaunprātīgus procesus, kuriem nav nepieciešama piekļuve LSA funkcijām sistēmā Windows, bet kuri tomēr mēģina tiem piekļūt.

Kā darbojas LSASS

Vietējās drošības iestādes apakšsistēmas pakalpojums (LSASS) ir process sistēmā Windows, kas apstrādā pieteikšanos un citus datus ar drošību saistīti uzdevumi, tāpēc, tiklīdz ļaunprogrammatūra var piekļūt LSA funkcijām, tā var nozagt akreditācijas datus no atmiņas vai citu metodes no

Windows drošības līdzekļi.

Microsoft Credential Guard autentificē lietotājus, kas piesakās datorā, aizsargājot sistēmu ar tā Defender komponentu. Problēma ir tāda, ka ne visās vidēs būs iespējots Credential Guard, jo tas nav saderīgs ar visām programmām.

Atmiņas izgāztuves fails, kas tiek izveidots, kad uzbrucējs ir uzlauzis lietotāja datoru, var saturēt lietotāja paroli un lietotājvārdu. Šis fails ir iespējams, izmantojot Mimikatz, īpašu šim nolūkam paredzētu rīku.

Uzbrucēji var izmantot leģitīmu procesu, kas pastāv operētājsistēmā, lai iegūtu pilnu piekļuvi sistēmai un pārsūtītu uz attālām vietām atmiņas izgāztuves ar akreditācijas datiem.

Defender nebloķēs šo darbību, jo process ir likumīgs un darbība nav kaitīga. Defender konstatē tikai ļaunprātīgu procesu izmantošanu un nevar novērst to izveidi vai pārsūtīšanu.

Microsoft Defender atjauninājumi

Microsoft ir novērsusi šo drošības problēmu, ieviešot jaunu drošības noteikumu ar nosaukumu Uzbrukuma virsmas samazināšana (ASR).

Šis noteikums neļaus programmām atvērt LSASS un, savukārt, neļaus tām izveidot atmiņas izdruku. Tas bloķēs piekļuvi LSASS pat tad, ja programma, kurai ir paaugstinātas tiesības, mēģinās atvērt procesu.

Tā kā LSASS var atvērt tikai programmas ar administratora privilēģijām, šis bloks neļauj tām piekļūt arī citiem aizsargātiem procesiem, kas var darboties datorā.

Noteikums arī neļauj pašam aizsargātajam procesam atvērt savu attēlu, padarot neiespējamu datu tveršanu vai modificēšanu aizsargātajā atmiņā.

Šī noklusējuma iestatījuma rezultātā šī ASR kārtula tiek iespējota, bet visas pārējās ar to saistītās kārtulas paliek noklusējuma stāvoklī.

Priekšrocības un trūkumi

Microsoft Defender izmanto noteikšanas sistēmu, kas atklāj gan zināmu, gan nezināmu ļaunprātīgu programmatūru, taču tā nav droša. Ļaunprātīgas programmatūras autori vienmēr meklē jaunus veidus, kā aizsargāt savu ļaunprātīgo programmatūru no atklāšanas.

Tomēr, ja datorā izmantojat trešās puses pretvīrusu programmatūru, ASR noteikums nav pieejams. ASR noteikuma trūkums ļauj hakeriem apiet Microsoft Defender ierobežojumus, kā arī tā izslēgšanas ceļus.

Skaits Windows drošības pētnieki jau ir apiejuši Defender ASR noteikumu, izmantojot tā izslēgšanas ceļus, lai piekļūtu failam Lsass.exe.

Ziņojumā tas minēts, jo Defender jau ir ieviesti vairāki izņēmumi, piemēram, tas pieļauj noteiktus administratīvus lietotāji var jautāt un atbildēt uz ASR pieprasījumiem — tas ļauj hakeriem izmantot šos noteikumus, kamēr viņi atklāj jaunus veidus, kā mērķēt datori.

Tas nozīmē, ka uzlabotā ASR kārtula aizsargās tikai Windows 11 Enterprise un Pro versiju lietotājus.

Tomēr drošības pētnieki atzinīgi novērtējuši jauno ASR noteikumu. Tā kā tas padara Windows nedaudz drošāku, jo mazāk būs nozagtu paroļu, jo labāk, jo no tā ieguvēji būs visi.

Jaunākā versija Microsoft Defender, kas pazīstams kā Microsoft Defender Preview, piedāvā informācijas paneli, kurā varat pārvaldīt savu ierīču drošību.

Vai, jūsuprāt, jaunais Microsoft aizsarga jauninājums ir daudzsološs Windows drošības ziņā? Izsakiet mums savas domas komentāru sadaļā zemāk.