windows defender在windows系统上将默认组织凭据盗窃！

（小猫windows家园搜集来的windows新闻）根据外国媒体爆料，微软正准备在windows defender中启用一项新的安全功能，该功能将会让黑客更难以从Windows电脑中窃取凭据。微软表示，攻击面减少（ASR）安全规则将有助于防止管理员级别的黑客访问本地安全机构服务器服务（LSASS）进程。

对于那些不熟悉的用户，LSASS 进程负责强制实施本地安全策略，并验证用户的本地和远程登录。若要检索 Windows 凭据，黑客通常会将 LSASS 进程的内存转储到受感染的设备上。

微软之前发布了几个安全功能（如凭据防护）来阻止对LSASS进程的访问。但是，某些组织尚未启用此功能，因为它可能会导致与应用程序或设备驱动程序发生冲突。

Windows Defender获取攻击面减少（ASR）规则
正如Bleeping Computer所指出的那样，Microsoft计划通过在Microsoft Defender中默认启用攻击面减少规则来解决此问题。启用后，该功能将阻止具有管理员权限的恶意进程转储 LSASS 进程的内存。安全研究员Kostas注意到，微软上周悄悄更新了ASR规则文档，以反映这一变化。

"攻击面减少 （ASR） 规则"阻止从Windows本地安全机构子系统（lsass.exe）窃取凭据"的默认状态将从"未配置"更改为"已配置"，默认模式设置为"阻止"。所有其他ASR规则将保持其默认状态：未配置，"该公司在支持页面上解释道。

微软指出，他们已经在ASR规则中实现了额外的过滤逻辑，这应该有助于减少最终用户通知。用户还可以通过将规则配置为以下模式之一来覆盖默认值："审核"、"警告"或"已禁用"。

请务必注意，新的 ASR 功能只能保护安装了Windows Defender作为默认防病毒软件的 windows电脑。但是，只要在同一设备上安装了第三方防病毒产品，此设置就会自动禁用。Bleeping Computer报告说，一些研究人员通过利用Windows Defender排除路径绕过了ASR规则。

尽管如此，网络安全专家认为，有关ASR功能的新默认行为是一个受欢迎的变化，可以帮助防止凭据被盗。"这是我们多年来（几十年？）一直要求的事情。这是一个很好的步骤，我很高兴看到+宏在从互联网上默认禁用。我们现在开始看到与现实世界攻击真正相关的措施，"Mimikatz开发人员Benjamin Delpy在给Bleeping Computer的一份声明中说。