- Microsoft засилва сигурността на Windows, като добавя много важно правило към антивирусната си програма.
- В Microsoft Defender се въвежда ново правило за ASR и е предназначено да попречи на злонамерените приложения да извличат пароли, използвани на компютъра.
- Въвеждането на новото правило ASR е част от усилията на Microsoft да направи операционната си система по-сигурна, особено срещу атаки на зловреден софтуер.
Ако бягате Windows 11 или последна версия на Windows Server, антивирусната програма Microsoft Defender, която е част от операционната система, вече може да предотврати кражбата на вашите пароли.
Новата функция е въведена чрез правило за интерфейс за сканиране на зловреден софтуер (ASR), което е набор от правила, използвани от Microsoft Defender за сканиране на файлове и блокиране на зловреден софтуер.
Правилото използва машинно обучение, за да идентифицира злонамерени процеси, които не се нуждаят от достъп до LSA функциите в Windows, но въпреки това се опитват да осъществят достъп до тях.
Как работят LSASS
Подсистемната услуга на местния орган за сигурност (LSASS) е процес в Windows, който обработва влизания и други задачи, свързани със сигурността, така че след като зловреден софтуер има достъп до LSA функции, той може да открадне идентификационни данни от паметта или други методи от Функции за защита на Windows.
Credential Guard на Microsoft удостоверява автентичността на потребителите, влизащи в компютър, като защитава системата с компонента Defender. Проблемът с това е, че не всички среди ще имат активиран Credential Guard, тъй като не е съвместим с всички програми.
Файлът с дъмп на паметта, който се създава, когато нападател е нарушил компютъра на потребител, може да съдържа паролата и потребителското име на потребителя. Този файл става възможен с използването на Mimikatz, специален инструмент, предназначен за тази цел.
Нападателите могат да използват легитимен процес, който съществува в операционната система, за да получат пълен достъп до системата и да предават дъмпове на паметта, съдържащи идентификационни данни, до отдалечени места.
Defender няма да блокира това действие, защото процесът е легитимен и действието не е вредно. Defender открива само злонамерено използване на процеси и не може да предотврати тяхното създаване или предаване.
Актуализациите на Microsoft Defender
Microsoft адресира този проблем със сигурността с въвеждането на ново правило за сигурност, наречено Намаляване на повърхността на атака (ASR).
Това правило ще попречи на програмите да отварят LSASS и от своя страна също ще им попречи да създават дъмп на паметта. Той ще блокира достъпа до LSASS, дори ако програма с повишени права се опита да отвори процеса.
Тъй като само програми с администраторски права могат да отварят LSASS, този блок също им пречи да имат достъп до други защитени процеси, които може да се изпълняват на компютъра.
Правилото също така блокира самия защитен процес от отваряне на собствено изображение, което прави невъзможно заснемането или промяната на данни в защитената памет.
Тази настройка по подразбиране води до активиране на това ASR правило, докато всички други правила, свързани с него, остават в тяхното състояние по подразбиране.
Предимства и недостатъци
Microsoft Defender използва система за откриване, която открива както известен, така и неизвестен зловреден софтуер, но не е надеждна. Авторите на злонамерен софтуер винаги търсят нови начини да защитят своя злонамерен софтуер от откриване.
Ако обаче използвате антивирусен софтуер на трета страна на компютъра си, правилото ASR е недостъпно. Липсата на правилото ASR позволява на хакерите да заобиколят ограничението на Microsoft Defender, както и неговите пътища за изключване.
Редица от Изследователи по сигурността на Windows вече са заобиколили правилото на ASR за Defender, използвайки неговите пътища за изключване, за да получат достъп до файла Lsass.exe.
В доклада се споменава, че тъй като Defender вече има множество изключения - например позволява определени административни потребителите да питат и отговарят на ASR заявки – това позволява на хакерите да използват тези правила, докато откриват нови начини за насочване компютри.
Това означава, че само потребителите на Enterprise и Pro версиите на Windows 11 ще бъдат защитени от подобреното правило ASR.
Въпреки това, новото правило ASR е приветствано от изследователите по сигурността. Тъй като прави Windows малко по-сигурен, колкото по-малко откраднати пароли има, толкова по-добре, тъй като всеки ще се възползва от това.
Най-новата версия на Microsoft Defender, известен като Microsoft Defender Preview, предлага табло за управление, където можете да управлявате сигурността на вашите устройства.
Обещаваща ли е новата надстройка на защитника на Microsoft по отношение на сигурността на Windows според вас? Кажете ни вашите мисли в секцията за коментари по-долу.
![5 оферти за лаптопи за валентинки за специални предложения [Специални оферти]](/f/1bc43ed620d104d65c68b716a6358b05.jpg?width=300&height=460)
