Microsoft по умолчанию включает правило безопасности Microsoft Defender «Уменьшение поверхности атаки», чтобы блокировать попытки хакеров украсть учетные данные Windows из процесса LSASS.
Когда злоумышленники компрометируют сеть, они пытаются распространиться на другие устройства путем кражи учетных данных или использования эксплойтов.
Одним из наиболее распространенных способов кражи учетных данных Windows является получение прав администратора на скомпрометированном устройстве, а затем копирование элементов памяти процесса локальной службы безопасности (LSASS), работающего в Windows.
Этот файл памяти содержит NTLM-хэши учетных данных Windows пользователей, вошедших в компьютер, которые могут быть взломаны для получения паролей в открытом виде или использованы в атаках Pass-the-Hash для входа на другие устройства.
Чтобы злоумышленники не злоупотребляли файлами памяти LSASS, Microsoft представила функции безопасности, которые предотвращают доступ к процессу LSASS.
Одной из таких функций безопасности является Credential Guard, которая изолирует процесс LSASS в виртуализированном контейнере, что предотвращает доступ к нему других процессов.
Однако эта функция может привести к конфликтам с драйверами или приложениями, из-за чего некоторые организации не включают ее.
Чтобы смягчить кражу учетных данных Windows, не вызывая конфликтов, создаваемых Credential Guard, Microsoft скоро включит по умолчанию правило Microsoft Defender Attack Surface Reduction (ASR).
Правило «Блокировать кражу учетных данных из подсистемы локального центра безопасности Windows» запрещает процессам открывать процесс LSASS и создавать дамп его памяти, даже если у него есть административные привилегии.