在过去几个月里,我们一直在报道AV-Comparatives关于Microsoft Defender性能的报告。微软的Windows操作系统内置安全解决方案总体上表现良好,所测试的产品主要是针对家庭用户的。然而,最近,这家安全评估公司对企业级反恶意软件解决方案进行了LSASS凭证转储保护测试,在被测试的产品中就有微软的Microsoft's Defender for Endpoint,它在评估中获得了满分。
本地安全授权子系统服务(LSASS)对在Windows计算机上登录的用户进行认证。威胁者经常利用这个LSASS过程,利用转储从域用户那里窃取有用的凭证,然后可以利用这些证书在目标网络中得到权限自由行动。
在这次LSASS凭证转储测试中使用了15种不同的攻击方法,Microsoft's Defender for Endpoint很好地阻止了所有这些方法,其他测试产品也同样表现良好。
下表包括以下产品的结果(启用LSASS保护设置后):
Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise、Kaspersky Endpoint Detection and Response Expert和Microsoft Defender for Endpoint。
Microsoft Defender和其他产品的LSASS凭证转储测试成绩:
在Microsoft Defender for Endpoint的情形下,由于Protected Process Light(PPL)和Attack Surface Reduction(ASR)机制被激活,因此成功地对攻击行为进行了阻断。PPL在Windows 11上被默认启用,最近,用于阻止凭证窃取的ASR规则也被默认启用。
阅读测试过程全文:
https://www.av-comparatives.org/lsass-credential-dumping-security/
(举报)