حصل Microsoft Defender للتو على أداة جديدة للحماية من سرقة بيانات اعتماد ويندوز. للقيام بذلك، سيقوم البرنامج بتنشيط قاعدة ASR (تقليل سطح الهجوم) افتراضيًا.
تم إطلاق Windows Defender في نوفمبر 2021، وهو يحتوي على أداة مساعدة جديدة تسمى Microsoft Defender. يتضمن بشكل خاص خدمات الكشف والعلاج لـ Microsoft 365 Defender و Azure Defender. مع هذا الوزن الإضافي، يوفر Windows Defender الآن “تغطية معظم الموارد لأي حل XDR.”
للتذكير، تتيح حلول XDR الاستجابة السريعة للهجمات الإلكترونية بفضل خوارزميات التعلم الآلي والتحليلات التي يمكن ملاحظتها لبيانات المستخدم في السحابة. وبالتحديد، سيتلقى برنامج مكافحة الفيروسات من مايكروسوفت أداة جديدة، هذه المرة لمنع سرقة معرفات ويندوز.
كما توضح شركة ردموند، فإن إحدى أكثر الأساليب شيوعًا لسرقة بيانات اعتماد ويندوز هي الحصول على امتيازات المسؤول على جهاز مخترق ثم تفريغ ذاكرة عملية سلطة الأمان المحلية للخادم (LSAS / Local Security Authority Server Service) التي تعمل في ويندوز.
يقوم Microsoft Defender بتمكين قاعدة ASR افتراضيًا
لمنع المهاجمين من إساءة استخدام عمليات تفريغ LSASS الأساسية، قدمت مايكروسوفت آليات تمنع الوصول إلى عملية LSASS. أولها الحارس الائتماني. وتتمثل مهمته في عزل عملية LSASS في حاوية افتراضية لمنع العمليات الأخرى من الوصول إليها.
ومع ذلك، يمكن أن يتعارض Credential Guard مع برامج التشغيل أو التطبيقات، مما يؤدي إلى تعطيله ببعض الشركات. لذلك لمنع سرقة معرف ويندوز والتعارضات المحتملة بين التطبيقات و Credential Guard، ستقوم مايكروسوفت قريبًا بتمكين قاعدة Attack Surface Reduction (ASR) في Microsoft Defender افتراضيًا.
في الواقع، تمنع قاعدة “سرقة بيانات الاعتماد من النظام الفرعي لسلطة الأمان المحلية لـ ويندوز” العمليات من فتح عملية LSASS وتفريغ ذاكرتها، حتى إذا كان المهاجم لديه امتيازات إدارية. تتغير الحالة الافتراضية لتقليل سطح الهجوم (ASR) من غير مهيأ إلى مهيأ و سيتم تعيين الوضع الافتراضي على الحظر. في حين ستبقى جميع قواعد ASR الأخرى في حالتها الافتراضية: غير مهيئة.
