Microsoft розумно ставиться до паролів

  • Microsoft посилює безпеку Windows, додаючи дуже важливе правило до свого антивірусу.
  • У Microsoft Defender вводиться нове правило ASR, яке призначене для запобігання вилучення паролів зловмисних програм, які використовуються на ПК.
  • Запровадження нового правила ASR є частиною зусиль Microsoft, щоб зробити свою операційну систему більш безпечною, особливо від атак зловмисного програмного забезпечення.
Microsoft Defender — це перебрендована версія Windows Defender

Якщо ти бігаєш Windows 11 або остання версія Windows Server, антивірус Microsoft Defender, який є частиною операційної системи, тепер може запобігти крадіжці ваших паролів.

Нова функція була представлена ​​за допомогою правила інтерфейсу сканування зловмисного програмного забезпечення (ASR), яке являє собою набір правил, які використовує Microsoft Defender для сканування файлів і блокування шкідливих програм.

Правило використовує машинне навчання для визначення шкідливих процесів, які не потребують доступу до функцій LSA в Windows, але все одно намагаються отримати до них доступ.

Як працює LSASS

Служба підсистеми локального центру безпеки (LSASS) — це процес у Windows, який обробляє вхід та інше завдання, пов’язані з безпекою, тому, як тільки зловмисне програмне забезпечення має доступ до функцій LSA, воно може вкрасти облікові дані з пам’яті чи інших методи від Функції безпеки Windows.

Credential Guard від Microsoft автентифікує користувачів, які входять на комп’ютер, захищаючи систему за допомогою компонента Defender. Проблема полягає в тому, що не у всіх середовищах буде ввімкнено Credential Guard, оскільки воно не сумісне з усіма програмами.

Файл дампа пам’яті, який створюється, коли зловмисник зламав комп’ютер користувача, може містити пароль та ім’я користувача. Цей файл став можливим завдяки використанню Mimikatz, спеціального інструменту, призначеного для цієї мети.

Зловмисники можуть використовувати законний процес, який існує в операційній системі, щоб отримати повний доступ до системи та передати дамп пам’яті, що містить облікові дані, у віддалені місця.

Захисник не блокуватиме цю дію, оскільки процес є законним і не є шкідливим. Захисник виявляє лише зловмисне використання процесів і не може запобігти їх створенню чи передачі.

Оновлення Microsoft Defender

Корпорація Майкрософт вирішила цю проблему безпеки, запровадивши нове правило безпеки під назвою Зменшення поверхні атаки (ASR).

Це правило не дозволить програмам відкривати LSASS і, у свою чергу, також не дозволить їм створити дамп пам’яті. Він заблокує доступ до LSASS, навіть якщо програма з підвищеними правами спробує відкрити процес.

Оскільки лише програми з правами адміністратора можуть відкривати LSASS, цей блок також перешкоджає їм отримати доступ до інших захищених процесів, які можуть бути запущені на комп’ютері.

Правило також блокує захищений процес від відкриття власного образу, унеможливлюючи захоплення чи зміну даних у захищеній пам’яті.

Це налаштування за замовчуванням призводить до ввімкнення цього правила ASR, тоді як усі інші пов’язані з ним правила залишаються в стані за замовчуванням.

Переваги та недоліки

Microsoft Defender використовує систему виявлення, яка виявляє як відомі, так і невідомі шкідливі програми, але вона не є надійною. Автори шкідливого програмного забезпечення завжди шукають нові способи захистити своє шкідливе програмне забезпечення від виявлення.

Однак якщо ви використовуєте на своєму комп’ютері антивірусне програмне забезпечення сторонніх виробників, правило ASR недоступне. Відсутність правила ASR дозволяє хакерам обійти обмеження Microsoft Defender, а також його шляхи виключення.

Деяка кількість Дослідники безпеки Windows вже обійшли правило ASR для Defender, використовуючи його шляхи виключення, щоб отримати доступ до файлу Lsass.exe.

У звіті згадується, що оскільки Defender вже має кілька виключень, наприклад, він дозволяє певні адміністративні користувачам запитувати та відповідати на запити ASR — це дозволяє хакерам використовувати ці правила, відкриваючи нові способи націлювання комп'ютери.

Це означає, що лише користувачі у версіях Windows 11 Enterprise і Pro будуть захищені покращеним правилом ASR.

Проте нове правило ASR було схвалено дослідниками безпеки. Оскільки це робить Windows трохи безпечнішою, чим менше вкрадених паролів, тим краще, оскільки від цього виграють усі.

Остання версія о Microsoft Defender, відомий як Microsoft Defender Preview, пропонує інформаційну панель, на якій ви можете керувати безпекою своїх пристроїв.

Чи є, на вашу думку, нове оновлення захисника Microsoft перспективним з точки зору безпеки Windows? Дайте нам свої думки в розділі коментарів нижче.

Як встановити Classic Shell на Windows 11

Як встановити Classic Shell на Windows 11Різне

Користувачі запитали нас, як вони можуть встановити Classic Shell на Windows 11, на що ми відповідаємо сьогодні двома способами.По-перше, перейдіть до репозиторію Open-Shell Github і завантажте акт...

Читати далі
Виправте помилку активації Windows 11 0xc004f074

Виправте помилку активації Windows 11 0xc004f074Різне

Не тільки користувачі Windows 10, але й користувачі Windows 11 стикалися з помилкою активації 0xc004f074.Неактивований ПК Windows 11 має обмежені функціональні можливості та можливості.Ви можете сп...

Читати далі
Виправлено: помилка активації Windows 11 0x87e107f9

Виправлено: помилка активації Windows 11 0x87e107f9Різне

Кілька користувачів Windows 11 відчувають помилку активації 0x87e107f9, подібну до тієї, яку багато хто стикався з Windows 10.Ми створили підібраний список рішень, які допоможуть вам вирішити цю пр...

Читати далі