Как работает технология защищенных процессов Protected Process Light в Sysmon?

Технология Protected Process Light (PPL) в Sysmon позволяет защитить критичные системные процессы от воздействия вредоносных программ или злонамеренных действий пользователей. www.securityvision.ru

PPL назначает процессам сигнатуру безопасности, и только процессы с соответствующей сигнатурой или «уровнем» могут взаимодействовать с другими. www.zerosalarium.com Этот механизм создаёт иерархию безопасности. www.zerosalarium.com

Некоторые особенности работы PPL:

• Использование цифровых подписей. www.zerosalarium.com Только процессы с правильной сигнатурой PPL могут выполнять определённые операции на защищённых процессах. www.zerosalarium.com
• Иерархия уровней. www.zerosalarium.com Процессы с более высокими привилегиями не могут влиять на процессы с меньшими привилегиями. www.zerosalarium.com
• Защита от завершения и модификации. www.zerosalarium.com Процессы с флагом PPL не могут быть завершены и изменены другими процессами, если только эти другие процессы также не обладают более высоким уровнем PPL. www.zerosalarium.com

PPL применяется в операционных системах старше Windows 8.1. www.securityvision.ru С версии 15 утилита Sysmon использует PPL для защиты своего процесса от атак на основе внедрения кода. tierzerosecurity.co.nz