در ماه های گذشته شاهد انتشار گزارش های AV-Comparatives در مورد عملکرد Microsoft Defender بودیم. Defender در واقع راه حل داخلی مایکروسافت برای برقراری امنیت سیستم عامل ویندوز است که پس از شکست های متعدد، اکنون به عملکرد پایدارتری دست یافته و روشی مناسب برای حفظ امنیت کاربران خانگی محسوب می شود.
با این حال، این شرکت یک ارزیابی امنیتی آزمایشی از حفاظت از دامپینگ اعتبار LSASS در برابر راهحلهای ضد بدافزار سازمانی از شرکتهای مختلف انجام داده است. در میان محصولاتی که با این تست مورد ارزیابی قرار گرفته اند، Microsoft Defender for Endpoint موفق به کسب امتیاز کامل شده است.
بهنوشتهی Neowin، خدمات زیرسیستم امنیت محلی (LSASS مخفف عبارت Local Security Authority Subsystem Service) احرازهویت کاربرانی را تأیید میکند که وارد کامپیوترهای ویندوزی میشوند. عوامل تهدید اغلب با استفاده از روشهای موسوم به دامپنیگ از این فرایند برای سرقت اعتبار از کاربران و سپس حرکت جانبی در داخل شبکهی هدف بهره میبرند. این خدمات را با نام lsass.exe در Task Manager ویندوز میتوان مشاهده کرد.
در تست دامپ اعتبارسنجی LSASS، 15 روش حمله مختلف استفاده شد و Defender for Endpoint با موفقیت همه آنها را مسدود کرد. سایر محصولات آزمایش شده نیز مانند راه حل امنیتی مایکروسافت عمل کردند. جدول زیر شامل نتایج به دست آمده برای محصولات مختلفی است که در این آزمایش مورد بررسی قرار گرفته اند:
به لطف ویژگی های امنیتی PPL (Process Protected) و ASR (Attack Level Reduction)، Defender for Endpoint به عملکرد عالی در دفع حملات بدافزار دست یافته است. PPL به طور پیش فرض در ویندوز 11 فعال است و ASR اخیراً به طور پیش فرض برای جلوگیری از سرقت اعتبار فعال شده است.