Windows系统的本地安全验证子系统服务并非绝对安全
(全球TMT2022年10月25日讯)Windows系统的本地安全验证子系统服务(LSASS)是网络犯罪分子在对组织网络发起定向攻击时的目标之一。从攻击者角度看,Windows系统机器上的LSASS进程通常是从域用户获得有用证书并利用这些证书在目标网络内横向移动的关键。包括定制设计恶意软件等几种不同的方法可以被攻击者和红队用来从LSASS进程中提取证书。依靠已安装安全产品和适用政策对LSASS证书转储进行保护可能会让攻击者更加容易或更加困难通过转储LSASS地址内存来掌握Windows系统用户证书。

鉴于防止LSASS证书转储的重要性,AV-Comparatives在2022年5月尝试了一些商业安全产品,以确定其针对LSASS攻击的加固措施的优秀程度。以上表格包括以下产品的测试结果(开启LSASS保护设置):Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise、Kaspersky Endpoint Detection、Response Expert和Microsoft Defender for Endpoint。
文章评论(0)