微软希望让窃取Windows密码变得更加困难

微软防病毒程序中的网络安全规则将很快默认运行，以防止威胁者窃取Windows凭据。网络安全研究员Kostas首次发现了微软攻击面减少(ASR)规则更新中的变化。

威胁行为者通常会窃取凭据或使用各种漏洞，以便横向通过已经受到攻击的网络。开展这项业务的一种方法是获得管理员访问权限，然后转储本地安全机构服务器服务(LSASS)进程的内存，因为它保存Windows凭据的NTLM哈希值。

这些稍后可能会被暴力破解，但为了防止LSASS内存转储不被窥探，微软通过CredentialGuard阻止对其进行访问，它将进程隔离在虚拟化容器中。

但是，正如BleepingComputer指出的那样，该功能有时会导致端点上的驱动程序冲突，这就是许多组织选择不启用它的原因。

现在，为了解决这个问题，微软将默认启用名为“阻止从Windows本地安全机构子系统窃取凭据”的ASR规则。

它可以防止进程打开LSASS进程，即使具有管理员权限也是如此。

“攻击面减少(ASR)规则“阻止从Windows本地安全机构子系统(lsass.exe)窃取凭据”的默认状态将从未配置更改为已配置，默认模式设置为阻止。所有其他ASR规则将保持默认状态：未配置。”更新后的文档中写道。

“规则中已经加入了额外的过滤逻辑，以减少最终用户通知。客户可以将规则配置为审核、警告或禁用模式，这将覆盖默认模式。此规则的功能是相同的，无论该规则是在默认开启模式下配置，或者如果您手动启用阻止模式。"

标签：