Microsoft пытается предотвратить кражу паролей Windows

Правило кибербезопасности, содержащееся в антивирусной программе Microsoft, скоро будет работать по умолчанию, чтобы предотвратить кражу учетных данных Windows злоумышленниками.

Microsoft пытается предотвратить кражу паролей Windows. Фото: Pixabay

Исследователь кибербезопасности Костас впервые заметил изменение в обновлении правил Microsoft Attack Surface Reduction (ASR).

Злоумышленники обычно крадут учетные данные или используют различные эксплойты для бокового перемещения через уже скомпрометированную сеть. Один из способов сделать это — получить доступ администратора, а затем сделать дамп памяти процесса локальной службы безопасности (LSASS), так как он содержит NTLM-хэши учетных данных Windows.

Позже их можно будет взломать, но чтобы скрыть дампы памяти LSASS от посторонних глаз, Microsoft блокирует доступ к ним через Credential Guard, который изолирует процесс в виртуализированном контейнере.

Однако, как отмечает BleepingComputer, эта функция иногда приводит к конфликтам драйверов на конечных точках , поэтому многие организации предпочитают ее не включать.

Теперь, чтобы обойти эту проблему, Microsoft по умолчанию активирует правило ASR под названием «Блокировать кражу учетных данных из подсистемы локального центра безопасности Windows».

Он не позволяет процессам открывать процесс LSASS даже с правами администратора.

Из сообщения компании:

«Состояние по умолчанию для правила сокращения направлений атаки (ASR) «Блокировать кражу учетных данных из подсистемы локального органа безопасности Windows (lsass.exe)» изменится с «Не настроено» на «Настроено», а режим по умолчанию установлен на «Блокировать». Все остальные правила ASR будут остаются в состоянии по умолчанию: не настроено. Дополнительная логика фильтрации уже включена в правило, чтобы уменьшить количество уведомлений конечных пользователей. Клиенты могут настроить правило на режимы аудита, предупреждения или отключения, которые переопределяют режим по умолчанию. Функциональность этого правила одинакова, независимо от того, настроен в режиме «включено по умолчанию», или если вы включите режим «Блокировка» вручную»

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме