密码每天都会通过设备、服务和操作系统泄露。微软的操作系统 Windows 也不例外。为了帮助解决这个问题,Microsoft 的防病毒实用程序 Defender 正在获得一个新的(并且非常受欢迎的)默认策略设置。
在微软最近在安全方面的努力的基础上,这家雷德蒙德科技巨头正在增加其变化库以提高企业安全性。对 Windows Defender 的修改,至少在 Windows 的企业版和专业版上,是在称为攻击面减少 (aka ASR) 的策略中进行的。此策略过去默认禁用,现在将在大多数企业 Windows 设备上启用。Twitter 用户 Kostas本周发现了默认策略更改的发现。
ASR 策略在未启用时允许访问称为 LSASS 的进程,这反过来又允许攻击者查看密码的哈希值。然后可以解密这些哈希,甚至可以将其转发到其他系统或进程。这样做可以有效地授予对共享密码或使用 Active Directory 之类的东西登录同一网络上的同一用户的设备的访问权限,包括管理级别。所有这一切意味着,实际上最安全的做法是根本不允许访问该过程。启用此策略正是这样做的。
虽然这不像在 Enterprise 上默认情况下禁用 Microsoft Office 文件中所有下载的宏 这样的极端修改,但这是朝着更好的安全方向迈出的一步。值得一提的是,如果组织确实使用了替代 Microsoft Defender 的安全解决方案,它将默认禁用 ASR 策略。由于大多数解决方案也照原样保护 LSASS 流程,因此该策略已被其他替代方案禁用。
后卫ms办公楼
我们认为微软最近一直在推动的所有以安全为中心的变化都是好的,即使其中一些最初会引起问题。过去,系统管理员可能已禁用此策略,因为旧软件可能需要访问 LSASS 进程。然而,根据当今的安全研究人员的说法,现代应用程序没有充分的理由需要访问 LSASS 进程。因此,感谢 Microsoft在 Defender 中进行策略更改。