- Microsoft усиливает безопасность Windows, добавляя в свой антивирус очень важное правило.
- В Microsoft Defender вводится новое правило ASR, предназначенное для предотвращения извлечения вредоносными приложениями паролей, используемых на ПК.
- Введение нового правила ASR является частью усилий Microsoft по повышению безопасности своей операционной системы, особенно от атак вредоносных программ.
Если вы бежите Windows 11 или последней версии Windows Server, антивирус Microsoft Defender, который является частью операционной системы, теперь может предотвратить кражу ваших паролей.
Новая функция была представлена через правило Antimalware Scan Interface (ASR), которое представляет собой набор правил, используемых Microsoft Defender для сканирования файлов и блокировки вредоносных программ.
Правило использует машинное обучение для выявления вредоносных процессов, которым не нужен доступ к функциям LSA в Windows, но которые все равно пытаются получить к ним доступ.
Как работает LSASS
Служба подсистемы локального органа безопасности (LSASS) — это процесс в Windows, который обрабатывает вход в систему и другие действия. задачи, связанные с безопасностью, поэтому, получив доступ к функциям LSA, вредоносное ПО может украсть учетные данные из памяти или других источников. методы из
Функции безопасности Windows.Credential Guard от Microsoft аутентифицирует пользователей, заходящих на компьютер, защищая систему с помощью своего компонента Defender. Проблема в том, что не во всех средах будет включен Credential Guard, поскольку он не совместим со всеми программами.
Файл дампа памяти, который создается, когда злоумышленник взломал компьютер пользователя, может содержать пароль и имя пользователя. Этот файл стал возможен благодаря использованию Mimikatz, специального инструмента, разработанного для этой цели.
Злоумышленники могут использовать законный процесс, существующий в операционной системе, для получения полного доступа к системе и передачи дампов памяти, содержащих учетные данные, в удаленные места.
Защитник не будет блокировать это действие, так как процесс является законным и действие не является вредоносным. Защитник обнаруживает только злонамеренное использование процессов и не может предотвратить их создание или передачу.
Обновления Microsoft Defender
Корпорация Майкрософт решила эту проблему безопасности, представив новое правило безопасности под названием Снижение поверхности атаки (АСР).
Это правило предотвратит открытие программами LSASS и, в свою очередь, не позволит им создать дамп памяти. Он заблокирует доступ к LSASS, даже если программа с повышенными правами попытается открыть процесс.
Поскольку только программы с правами администратора могут открывать LSASS, этот блок также запрещает им доступ к другим защищенным процессам, которые могут выполняться на компьютере.
Правило также блокирует сам защищенный процесс от открытия собственного образа, что делает невозможным захват или изменение данных в защищенной памяти.
Этот параметр по умолчанию приводит к включению этого правила ASR, в то время как все другие правила, связанные с ним, остаются в состоянии по умолчанию.
Преимущества и недостатки
Microsoft Defender использует систему обнаружения, которая обнаруживает как известные, так и неизвестные вредоносные программы, но она не является надежной. Авторы вредоносных программ всегда ищут новые способы защиты своих вредоносных программ от обнаружения.
Однако, если вы используете стороннее антивирусное программное обеспечение на своем компьютере, правило ASR недоступно. Отсутствие правила ASR позволяет хакерам обходить ограничение Microsoft Defender, а также его пути исключения.
Количество Исследователи безопасности Windows уже обошли правило ASR для Защитника, используя его пути исключения, чтобы получить доступ к файлу Lsass.exe.
В отчете упоминается, что, поскольку Защитник уже имеет несколько исключений — например, он позволяет определенным административным пользователи могут спрашивать и отвечать на запросы ASR — это позволяет хакерам использовать эти правила, пока они находят новые способы нацеливания компьютеры.
Это означает, что только пользователи версий Windows 11 Enterprise и Pro будут защищены улучшенным правилом ASR.
Однако исследователи безопасности приветствовали новое правило ASR. Поскольку это делает Windows немного более безопасным, чем меньше украденных паролей, тем лучше, так как от этого выиграют все.
Последняя версия Защитник Майкрософт, известная как Microsoft Defender Preview, предлагает панель мониторинга, с помощью которой вы можете управлять безопасностью своих устройств.
По вашему мнению, новое обновление Microsoft Defender многообещающе с точки зрения безопасности Windows? Дайте нам свои мысли в разделе комментариев ниже.
