Доброго времени суток! С радостью отвечу на ваши вопросы:
Данный способ получится провернуть только для локальных пользователей, так как мы изменяем SAM (диспетчер локальных учётных записей безопасности). Всё, что касается доменных учёток, никак не фигурирует в сущности SAM.
Также небольшое дополнение к вашим словам: изменять SAM можно только с правами SYSTEM, так как SAM — критически важный компонент ОС.
Касаемо детекта:
Каждая EDR по-своему устроена под "капотом", но я предполагаю, что любая современная EDR способна отслеживать цепочки событий + контроль WinAPI, что позволяет покрыть детект изменений в реестре с "коробки", в частности в SAM. Также для более углубленного мониторинга можно интегрировать EDR с SIEM решениями
Доброго времени суток!
С радостью отвечу на ваши вопросы:
Данный способ получится провернуть только для локальных пользователей, так как мы изменяем SAM (диспетчер локальных учётных записей безопасности). Всё, что касается доменных учёток, никак не фигурирует в сущности SAM.
Также небольшое дополнение к вашим словам: изменять SAM можно только с правами SYSTEM, так как SAM — критически важный компонент ОС.
Касаемо детекта:
Каждая EDR по-своему устроена под "капотом", но я предполагаю, что любая современная EDR способна отслеживать цепочки событий + контроль WinAPI, что позволяет покрыть детект изменений в реестре с "коробки", в частности в SAM.
Также для более углубленного мониторинга можно интегрировать EDR с SIEM решениями