在過去幾個月里,我們一直在報道AV-Comparatives關於Microsoft Defender性能的報告。微軟的Windows操作系統內置安全解決方案總體上表現良好,所測試的產品主要是針對家庭用戶的。然而,最近,這家安全評估公司對企業級反惡意軟件解決方案進行了LSASS憑證轉儲保護測試,在被測試的產品中就有微軟的Microsoft’s Defender for Endpoint,它在評估中獲得了滿分。
本地安全授權子系統服務(LSASS)對在Windows計算機上登錄的用戶進行認證。威脅者經常利用這個LSASS過程,利用轉儲從域用戶那裡竊取有用的憑證,然後可以利用這些證書在目標網絡中得到權限自由行動。
在這次LSASS憑證轉儲測試中使用了15種不同的攻擊方法,Microsoft’s Defender for Endpoint很好地阻止了所有這些方法,其他測試產品也同樣表現良好。
下表包括以下產品的結果(啟用LSASS保護設置后):
Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise、Kaspersky Endpoint Detection and Response Expert和Microsoft Defender for Endpoint。
Microsoft Defender和其他產品的LSASS憑證轉儲測試成績:
在Microsoft Defender for Endpoint的情形下,由於Protected Process Light(PPL)和Attack Surface Reduction(ASR)機制被激活,因此成功地對攻擊行為進行了阻斷。PPL在Windows 11上被默認啟用,最近,用於阻止憑證竊取的ASR規則也被默認啟用。
閱讀測試過程全文:
https://www.av-comparatives.org/lsass-credential-dumping-security/