本地安全授权子系统服务(LSASS)对在Windows计算机上登录的用户进行认证。威胁者经常利用这个LSASS过程,利用转储从域用户那里窃取有用的凭证,然后可以利用这些证书在目标网络中得到权限自由行动。
在这次LSASS凭证转储测试中使用了15种不同的攻击方法,Microsoft's Defender for Endpoint很好地阻止了所有这些方法,其他测试产品也同样表现良好。
下表包括以下产品的结果(启用LSASS保护设置后):
Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise、Kaspersky Endpoint Detection and Response Expert和Microsoft Defender for Endpoint。
Microsoft Defender和其他产品的LSASS凭证转储测试成绩:
在Microsoft Defender for Endpoint的情形下,由于Protected Process Light(PPL)和Attack Surface Reduction(ASR)机制被激活,因此成功地对攻击行为进行了阻断。PPL在Windows 11上被默认启用,最近,用于阻止凭证窃取的ASR规则也被默认启用。
阅读测试过程全文:
https://www.av-comparatives.org/lsass-credential-dumping-security/
扫一扫
在手机上阅读