Несколько способов защитить систему от вредоносных программ, использующих подмену файла LSASS:

• Установить последние обновления системы безопасности. 12 Они исправляют уязвимости, которые злоумышленники могут использовать для атаки на компьютер. 12 Нужно настроить автоматическую загрузку и установку обновлений для Windows, а также сторонних программ, установленных на ПК. 2
• Использовать Credential Guard в Защитнике Windows. 12 Это механизм безопасности, который создаёт изолированный процесс LSASS (LSAIso). 12 В нём надёжно хранятся все учётные данные, и он взаимодействует с основным LSASS для проверки пользователей. 12
• Отключить удалённый доступ к рабочему столу. 12 Эта функция делает компьютер уязвимым для хакерских атак. 2 Чтобы отключить удалённый доступ, нужно нажать клавишу «Пуск» и ввести в поисковую строку «удаленный доступ». 2 Затем выбрать «Разрешить удалённые подключения к этому компьютеру» и убрать галочку у пункта «Разрешить подключение удалённого помощника к этому компьютеру». 2
• Ограничить разрешения доступа к LSASS. 3 Чтобы защитить LSASS от несанкционированного доступа, можно ограничить тех, кто может с ним взаимодействовать. 3 В Windows 10 и 11 можно настроить параметры контроля учётной записи пользователя (UAC). 3
• Отключить сброс памяти LSASS. 3 Это предотвратит создание файлов дампов, которые злоумышленники могут использовать для извлечения учётных данных. 3
• Использовать инструменты обнаружения вредоносной активности. 3 Они помогают обнаруживать вредоносную деятельность в реальном времени, например, когда кто-то пытается получить доступ к памяти LSASS. 3
• Монитировать системные журналы и события безопасности. 3 Это поможет обнаружить подозрительные действия, связанные с доступом к LSASS. 3

Для более надёжной защиты можно использовать дополнительные сторонние инструменты безопасности, такие как Fortect или Kaspersky. 3