Sipas AV-TEST, Microsoft Defender ofron siguri të ngjashme ose superiore ndaj zgjidhjeve më të famshme. Kompania Redmond ka prezantuar një risi që ju lejon të bllokoni vjedhjen e kredencialeve të Windows nga memoria. Megjithëse është specifike për versionet Enterprise të sistemit operativ, funksioni i ri mbështetet gjithashtu nga versionet Pro të Windows 10 dhe 11.
Shumë shpesh, kriminelët kibernetikë shfrytëzojnë dobësitë e softuerit për të kryer të ashtuquajturat “sulme anësore”. Për shembull, pasi komprometojnë një rrjet, ata përpiqen të vjedhin fjalëkalime të ruajtura në pajisje të tjera. Një nga metodat më të njohura të vjedhjes së kredencialeve të Windows është marrja e privilegjeve të administratorit dhe më pas heqja e kujtesës së procesit të Shërbimit të Serverit të Autoritetit Lokal të Sigurisë (LSASS).
Deponia, e cila përmban hash-et NTLM (New Technology LAN Manager) të kredencialeve të përdorura nga përdoruesit për hyrje, mund të bëhet me mjetin popullor Mimikatz. Ky i fundit bllokohet nga Microsoft Defender, por deponia mund të transferohet në një kompjuter të largët për një sulm me forcë brutale.
Veçoria Credential Guard izolon procesin LSASS për të parandaluar aksesin dhe nxjerrjen e kredencialeve, por disa kompani nuk mund ta aktivizojnë atë për shkak të papajtueshmërisë me aplikacionet dhe drejtuesit. Prandaj, Microsoft ka prezantuar rregullin e reduktimit të sipërfaqes së sulmit (ASR) për Defender for Endpoint, i cili bllokon vjedhjen e kredencialeve nga procesi LSASS.
Rregulli është aktiv si parazgjedhje, megjithëse mund të shkaktojë rezultate false dhe regjistra të shumtë në shikuesin e ngjarjeve. Fatkeqësisht, rregulli çaktivizohet automatikisht kur përdoruesi instalon një antivirus tjetër. Për më tepër, sulmuesit mund të përdorin gjithmonë listën e përjashtimeve të Defender për të kapërcyer bllokun. Megjithatë, zgjidhja është një hap i mirë përpara në krahasim me të kaluarën.
Discussion about this post