Reply to thread

Message

<blockquote data-quote="Andy Ful" data-source="post: 975360" data-attributes="member: 32260">From the article:1.This rule work also on Windows 10 Home. Here are some examples (from the ConfigureDefender):[CODE]Event[2]:Time Created&nbsp; : 07.02.2022 15:10:37ProviderName : Microsoft-Windows-Windows DefenderId&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp; : 1121Message&nbsp; &nbsp; &nbsp; : Funkcja Microsoft Defender Exploit Guard zablokowała operację, na którą nie zezwala administrator IT.&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Aby uzyskać więcej informacji, skontaktuj się ze swoim administratorem IT.&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Identyfikator: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; ConfigureDefender option: Block credential stealing from the Windows local security authority subsystem (lsass.exe)&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Godzina wykrycia: 2022-02-07T14:10:37.500Z&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Użytkownik: ZARZĄDZANIE NT\SYSTEM&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Ścieżka: C:\Windows\System32\lsass.exe&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Nazwa procesu: C:\Windows\System32\CompatTelRunner.exe&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Docelowy wiersz polecenia&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Nadrzędny wiersz polecenia: C:\WINDOWS\system32\CompatTelRunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun -cv:XXXXXXXXX/fKs.1&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Plik, którego to dotyczy:&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Flagi dziedziczenia: 0x00000000&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Wersja analizy zabezpieczeń: 1.357.252.0&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Wersja aparatu: 1.1.18900.2&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Wersja produktu: 4.18.2111.5Event[3]:Time Created&nbsp; : 05.02.2022 12:09:11ProviderName : Microsoft-Windows-Windows DefenderId&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp; : 1121Message&nbsp; &nbsp; &nbsp; : Funkcja Microsoft Defender Exploit Guard zablokowała operację, na którą nie zezwala administrator IT.&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Aby uzyskać więcej informacji, skontaktuj się ze swoim administratorem IT.&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Identyfikator: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; ConfigureDefender option: Block credential stealing from the Windows local security authority subsystem (lsass.exe)&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Godzina wykrycia: 2022-02-05T11:09:11.901Z&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Użytkownik: ZARZĄDZANIE NT\SYSTEM&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Ścieżka: C:\Windows\System32\lsass.exe&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Nazwa procesu: C:\Program Files (x86)\Microsoft\Edge\Application\98.0.1108.43\Installer\setup.exe&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Docelowy wiersz polecenia&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Nadrzędny wiersz polecenia: &quot;C:\Program Files (x86)\Microsoft\Edge\Application\98.0.1108.43\Installer\setup.exe&quot; --msedge --channel=stable --register-package-identity --verbose-logging --system-level&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Plik, którego to dotyczy:&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Flagi dziedziczenia: 0x00000000&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Wersja analizy zabezpieczeń: 1.357.84.0&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Wersja aparatu: 1.1.18900.2&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Wersja produktu: 4.18.2111.5[/CODE]2.True. But, as we can see this rule can block sometimes the Microsoft processes like CompatTelRunner and Edge installer from accessing LSASS.&nbsp; Anyway, everything seems to work well.</blockquote>

[QUOTE="Andy Ful, post: 975360, member: 32260"] From the article: 1. This rule work also on Windows 10 Home. Here are some examples (from the ConfigureDefender): [CODE] Event[2]: Time Created : 07.02.2022 15:10:37 ProviderName : Microsoft-Windows-Windows Defender Id : 1121 Message : Funkcja Microsoft Defender Exploit Guard zablokowała operację, na którą nie zezwala administrator IT. Aby uzyskać więcej informacji, skontaktuj się ze swoim administratorem IT. Identyfikator: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 ConfigureDefender option: Block credential stealing from the Windows local security authority subsystem (lsass.exe) Godzina wykrycia: 2022-02-07T14:10:37.500Z Użytkownik: ZARZĄDZANIE NT\SYSTEM Ścieżka: C:\Windows\System32\lsass.exe Nazwa procesu: C:\Windows\System32\CompatTelRunner.exe Docelowy wiersz polecenia Nadrzędny wiersz polecenia: C:\WINDOWS\system32\CompatTelRunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun -cv:XXXXXXXXX/fKs.1 Plik, którego to dotyczy: Flagi dziedziczenia: 0x00000000 Wersja analizy zabezpieczeń: 1.357.252.0 Wersja aparatu: 1.1.18900.2 Wersja produktu: 4.18.2111.5 Event[3]: Time Created : 05.02.2022 12:09:11 ProviderName : Microsoft-Windows-Windows Defender Id : 1121 Message : Funkcja Microsoft Defender Exploit Guard zablokowała operację, na którą nie zezwala administrator IT. Aby uzyskać więcej informacji, skontaktuj się ze swoim administratorem IT. Identyfikator: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 ConfigureDefender option: Block credential stealing from the Windows local security authority subsystem (lsass.exe) Godzina wykrycia: 2022-02-05T11:09:11.901Z Użytkownik: ZARZĄDZANIE NT\SYSTEM Ścieżka: C:\Windows\System32\lsass.exe Nazwa procesu: C:\Program Files (x86)\Microsoft\Edge\Application\98.0.1108.43\Installer\setup.exe Docelowy wiersz polecenia Nadrzędny wiersz polecenia: "C:\Program Files (x86)\Microsoft\Edge\Application\98.0.1108.43\Installer\setup.exe" --msedge --channel=stable --register-package-identity --verbose-logging --system-level Plik, którego to dotyczy: Flagi dziedziczenia: 0x00000000 Wersja analizy zabezpieczeń: 1.357.84.0 Wersja aparatu: 1.1.18900.2 Wersja produktu: 4.18.2111.5[/CODE] 2. True. But, as we can see this rule can block sometimes the Microsoft processes like CompatTelRunner and Edge installer from accessing LSASS. Anyway, everything seems to work well. [/QUOTE]

Verification