Ochrana nastavení zabezpečení macOS pomocí ochrany před falšováním
Platí pro:
- Microsoft Defender XDR
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Ochrana před falšováním v macOS pomáhá zabránit nechtěným změnám nastavení zabezpečení neoprávněnými uživateli. Ochrana před neoprávněným odstraněním Microsoft Defenderu for Endpoint v systému macOS pomáhá zabránit neoprávněnému odebrání. Tato funkce také pomáhá manipulovat s důležitými soubory zabezpečení, procesy a nastaveními konfigurace.
Důležité
Od března 2023 respektuje Microsoft Defender for Endpoint v systému macOS výběr ochrany před falšováním použitý prostřednictvím přepínače globální ochrany před falšováním v upřesňujících nastaveních na portálu Microsoft Defender (https://security.microsoft.com). Pomocí řešení správy mobilních zařízení (MDM), jako je Intune nebo JAMF, můžete vynutit (blokovat, auditovat nebo zakázat) vlastní nastavení ochrany před falšováním v macOS. Pokud nebylo nastavení ochrany před falšováním vynuceno prostřednictvím MDM, může místní správce pokračovat v ruční změně nastavení pomocí následujícího příkazu: sudo mdatp config tamper-protection enforcement-level --value (chosen mode).
Ochranu před falšováním můžete nastavit v následujících režimech:
| Článek | Popis |
|---|---|
| Zakázáno | Ochrana před falšováním je zcela vypnutá. |
| Audit | Operace manipulace se protokolují, ale neblokují se. Tento režim je po instalaci výchozí. |
| Blokování | Ochrana před falšováním je zapnutá; Operace manipulace jsou blokované. |
Pokud je ochrana před falšováním nastavená na režim auditování nebo blokování, můžete očekávat následující výsledky:
Režim auditování:
- Akce pro odinstalaci agenta Defenderu for Endpoint jsou protokolované (auditované)
- Úpravy a úpravy souborů Defenderu for Endpoint se protokolují (auditují)
- Vytváření nových souborů v umístění Defenderu for Endpoint se protokoluje (audituje)
- Odstranění souborů Defenderu for Endpoint se protokoluje (audituje se).
- Přejmenování souborů Defenderu for Endpoint je protokolované (auditované)
Režim blokování:
- Akce pro odinstalaci agenta Defenderu for Endpoint jsou blokované
- Úpravy a úpravy souborů Defenderu for Endpoint jsou blokované
- Vytváření nových souborů v umístění Defenderu for Endpoint je zablokované
- Odstranění souborů Defenderu for Endpoint je zablokované
- Přejmenování souborů Defenderu for Endpoint je zablokované
- Příkazy k zastavení agenta (wdavdaemon) selžou
Tady je příklad systémové zprávy v reakci na blokovanou akci:
Režim ochrany před falšováním můžete nakonfigurovat tak, že název režimu nastavíte na úrovni vynucení.
Poznámka
- Změna režimu se projeví okamžitě.
- Pokud jste při počáteční konfiguraci použili JAMF, budete muset konfiguraci aktualizovat také pomocí JAMF.
Než začnete
- Podporované verze macOS: Big Sur (11) nebo novější
- Minimální požadovaná verze pro Defender for Endpoint:
101.70.19
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Důrazně doporučujeme nastavení:
Je povolená ochrana integrity systému (SIP). Další informace najdete v tématu Zakázání a povolení ochrany integrity systému.
Ke konfiguraci Microsoft Defenderu for Endpoint použijte nástroj pro správu mobilních zařízení (MDM).
Ujistěte se, že Defender for Endpoint má plnou autorizaci přístupu k disku .
Poznámka
Povolení PROTOKOLU SIP a veškerá konfigurace přes MDM není povinná, ale vyžaduje se pro plně zabezpečené zařízení, jinak může místní správce pořád provádět změny, které spravuje macOS. Například povoleníM TCC (transparentnost, vyjádření souhlasu & řízení) prostřednictvím řešení správy mobilních zařízení, jako je Intune, se eliminuje riziko, že globální správce zruší autorizaci přístupu k úplnému disku místním správcem.
Konfigurace ochrany před falšováním na zařízeních s macOS
Microsoft Defender vyhodnocuje tato nastavení v následujícím pořadí. Pokud je nakonfigurované nastavení s vyšší prioritou, ostatní se ignorují:
Spravovaný konfigurační profil (nastavení tamperProtection/enforcementLevel):
Ruční konfigurace (s
mdatp config tamper-protection enforcement-level --value { disabled|audit|block })Pokud je na portálu Microsoft Defenderu povolená ochrana před neoprávněnou manipulací, použije se režim blokování (ve verzi Preview, který není dostupný pro všechny zákazníky).
- Pokud je zařízení licencované, použije se ve výchozím nastavení režim auditování.
- Pokud zařízení není licencované, ochrana před falšováním je v režimu blokování.
Než začnete
Ujistěte se, že je vaše zařízení licencované a v pořádku (sestava trueodpovídajících hodnot):
mdatp health
healthy : true
health_issues : []
licensed : true
...
tamper_protection : "audit"
tamper_protection hlásí efektivní úroveň vynucování.
Ruční konfigurace
- Pomocí následujícího příkazu přepněte do nejvíce omezujícího režimu:
sudo mdatp config tamper-protection enforcement-level --value block
Poznámka
Na produkčních zařízeních musíte použít spravovaný konfigurační profil (nasazený prostřednictvím MDM). Pokud místní správce změnil režim ochrany před falšováním prostřednictvím ruční konfigurace, může ho kdykoli také změnit na méně omezující režim. Pokud byl režim ochrany před falšováním nastavený prostřednictvím spravovaného profilu, bude ho moct vrátit zpět jenom globální správce.
- Ověřte výsledek.
healthy : true
health_issues : []
licensed : true
engine_version : "1.1.19300.3"
app_version : "101.70.19"
org_id : "..."
log_level : "info"
machine_guid : "..."
release_ring : "InsiderFast"
product_expiration : Dec 29, 2022 at 09:48:37 PM
cloud_enabled : true
cloud_automatic_sample_submission_consent : "safe"
cloud_diagnostic_enabled : false
passive_mode_enabled : false
real_time_protection_enabled : true
real_time_protection_available : true
real_time_protection_subsystem : "endpoint_security_extension"
network_events_subsystem : "network_filter_extension"
device_control_enforcement_level : "audit"
tamper_protection : "block"
automatic_definition_update_enabled : true
definitions_updated : Jul 06, 2022 at 01:57:03 PM
definitions_updated_minutes_ago : 5
definitions_version : "1.369.896.0"
definitions_status : "up_to_date"
edr_early_preview_enabled : "disabled"
edr_device_tags : []
edr_group_ids : ""
edr_configuration_version : "20.199999.main.2022.07.05.02-ac10b0623fd381e28133debe14b39bb2dc5b61af"
edr_machine_id : "..."
conflicting_applications : []
network_protection_status : "stopped"
data_loss_prevention_status : "disabled"
full_disk_access_enabled : true
Všimněte si, že tamper_protection je teď nastavená na block.
JAMF
V konfiguračním profilu Microsoft Defenderu for Endpoint nakonfigurujte režim ochrany před falšováním přidáním následujících nastavení:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Poznámka
Pokud už máte konfigurační profil pro Microsoft Defender for Endpoint, musíte do něj přidat nastavení. Druhý konfigurační profil byste neměli vytvářet.
Intune
Katalog nastavení
Můžete vytvořit nový profil katalogu nastavení, který přidá konfiguraci ochrany před falšováním, nebo ho můžete přidat do existujícího profilu. Nastavení Úroveň vynucování najdete v kategoriích Microsoft Defender a podkategorii Ochrana před falšováním. Potom zvolte požadovanou úroveň.
Vlastní profil
Alternativně můžete také nakonfigurovat ochranu před falšováním prostřednictvím vlastního profilu. Další informace najdete v tématu Nastavení předvoleb pro Microsoft Defender for Endpoint v macOS.
Poznámka
V případě konfigurace Intune můžete vytvořit nový konfigurační soubor profilu, který přidá konfiguraci ochrany před falšováním, nebo můžete tyto parametry přidat do existujícího. Zvolte požadovanou úroveň.
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Zkontrolovat stav
Spuštěním následujícího příkazu zkontrolujte stav ochrany před falšováním:
mdatp health --field tamper_protection
Pokud je zapnutá ochrana před neoprávněnou manipulací, zobrazí se výsledek "blokovat":
Můžete také spustit úplné mdatp health spuštění a vyhledat "tamper_protection" ve výstupu.
Rozšířené informace o stavu ochrany před falšováním získáte spuštěním příkazu mdatp health --details tamper_protection.
Ověření preventivních možností ochrany před falšováním
Ochranu před falšováním můžete ověřit různými způsoby.
Ověření režimu blokování
Upozornění na manipulaci se vyvolává na portálu Microsoft Defenderu.
Ověření režimu blokování a režimů auditu
- Při použití rozšířeného proaktivního vyhledávání se zobrazí upozornění na manipulaci.
- Události manipulace najdete v protokolech místního zařízení:
sudo grep -F '[{tamperProtection}]' /Library/Logs/Microsoft/mdatp/microsoft_defender_core.log
Diy scénáře
Pokud je ochrana před falšováním nastavená na blokovat, zkuste defender for Endpoint odinstalovat různými metodami. Můžete například přetáhnout dlaždici aplikace do koše nebo odinstalovat ochranu před falšováním pomocí příkazového řádku.
Zkuste zastavit proces Defenderu for Endpoint (kill).
Zkuste odstranit, přejmenovat, upravit a přesunout soubory Defenderu for Endpoint (podobně jako by to udělal uživatel se zlými úmysly), například:
- /Applications/Microsoft Defender.app/
- /Library/LaunchDaemons/com.microsoft.fresno.plist
- /Library/LaunchDaemons/com.microsoft.fresno.uninstall.plist
- /Library/LaunchAgents/com.microsoft.wdav.tray.plist
- /Library/Managed Preferences/com.microsoft.wdav.ext.plist
- /Library/Managed Preferences/mdatp_managed.json
- /Library/Managed Preferences/com.microsoft.wdav.atp.plist
- /Library/Managed Preferences/com.microsoft.wdav.atp.offboarding.plist
- /usr/local/bin/mdatp
Vypnutí ochrany před falšováním
Ochranu před falšováním můžete vypnout některým z následujících způsobů.
Ruční konfigurace
Použijte následující příkaz:
sudo mdatp config tamper-protection enforcement-level --value disabled
JAMF
Změňte ve svém konfiguračnímenforcementLevel profilu hodnotu na zakázáno a nasdílejte ji do zařízení:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>disabled</string>
</dict>
</dict>
</plist>
Intune
Do svého profilu Intune přidejte následující konfiguraci:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>disabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Vyloučení
Poznámka
K dispozici ve verzi 101.98.71 nebo novější.
Ochrana před falšováním zabraňuje jakémukoli procesu macOS v provádění změn prostředků programu Microsoft Defender nebo zastavení procesů programu Microsoft Defender. Mezi chráněné prostředky patří instalační a konfigurační soubory.
Microsoft Defender interně provádí výjimky pro určité procesy macOS za určitých okolností. MacOS může například upgradovat balíček Defenderu, pokud ochrana před falšováním ověřuje pravost balíčků. Existují i další vyloučení. Například proces MDM pro macOS může nahradit konfigurační soubory spravované Microsoft Defenderem.
V některých situacích musí globální správce restartovat Defender na všech nebo některých spravovaných zařízeních. Obvykle se to provádí vytvořením a spuštěním zásady JAMF, která spouští skript na vzdálených zařízeních (nebo podobné operace pro jiné dodavatele MDM).
Aby se zabránilo označení operací iniciovaných zásadami, Microsoft Defender zjistí tyto procesy zásad MDM pro JAMF a Intune a povolí z nich operace manipulace. Ochrana před falšováním současně blokuje restartování Microsoft Defenderu stejným skriptem, pokud je spuštěný místně z terminálu.
Tyto spuštěné procesy zásad jsou však specifické pro dodavatele. I když Microsoft Defender poskytuje integrovaná vyloučení pro JAMF a Intune, nemůže tato vyloučení poskytnout všem možným dodavatelům MDM. Místo toho může globální správce přidat vlastní vyloučení pro ochranu před falšováním. Vyloučení je možné provádět pouze prostřednictvím profilu MDM, nikoli místní konfigurace.
K tomu je potřeba nejprve zjistit cestu k pomocnému procesu MDM, který spouští zásady. Můžete to udělat buď podle dokumentace dodavatele MDM. Můžete také zahájit manipulaci s testovacími zásadami, získat výstrahu na portálu Zabezpečení, zkontrolovat hierarchii procesů, které útok zahájily, a vybrat proces, který vypadá jako kandidát pomocníka MDM.
Po identifikaci cesty procesu máte několik možností, jak nakonfigurovat vyloučení:
- Cestou samotnou. Je to nejjednodušší (tuto cestu už máte) a nejméně bezpečný způsob, jak to udělat, jinými slovy, nedoporučuje se.
- Získáním ID podpisu ze spustitelného souboru teamidentifier nebo podpisového identifikátoru spuštěním
codesign -dv --verbose=4 path_to_helperpříkazu (vyhledejte Identifikátor a TeamIdentifier, druhý identifikátor není k dispozici pro vlastní nástroje Společnosti Apple). - Nebo pomocí kombinace těchto atributů.
Příklad:
codesign -dv --verbose=4 /usr/bin/ruby
Executable=/usr/bin/ruby
Identifier=com.apple.ruby
Format=Mach-O universal (x86_64 arm64e)
CodeDirectory v=20400 size=583 flags=0x0(none) hashes=13+2 location=embedded
Platform identifier=14
VersionPlatform=1
VersionMin=852992
VersionSDK=852992
Hash type=sha256 size=32
CandidateCDHash sha256=335c10d40db9417d80db87f658f6565018a4c3d6
CandidateCDHashFull sha256=335c10d40db9417d80db87f658f6565018a4c3d65ea3b850fc76c59e0e137e20
Hash choices=sha256
CMSDigest=335c10d40db9417d80db87f658f6565018a4c3d65ea3b850fc76c59e0e137e20
CMSDigestType=2
Executable Segment base=0
Executable Segment limit=16384
Executable Segment flags=0x1
Page size=4096
Launch Constraints:
None
CDHash=335c10d40db9417d80db87f658f6565018a4c3d6
Signature size=4442
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Signed Time=Apr 15, 2023 at 4:45:52 AM
Info.plist=not bound
TeamIdentifier=not set
Sealed Resources=none
Internal requirements count=1 size=64
Nakonfigurujte předvolby, například pro JAMF:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/usr/bin/ruby</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.ruby</string>
<key>args</key>
<array>
<string>/usr/local/bin/global_mdatp_restarted.rb</string>
</array>
</dict>
</array>
</dict>
</dict>
</plist>
Všimněte si, že vyloučení interpreta skriptování (jako je Ruby z výše uvedeného příkladu) místo zkompilovaného spustitelného souboru není bezpečné, protože může spustit libovolný skript, ne jenom ten, který používá globální správce.
Pokud chcete minimalizovat riziko, doporučujeme použít další args a povolit spouštění pouze konkrétních skriptů se skriptovacími interprety.
Ve výše uvedeném příkladu je povoleno restartovat jenom /usr/bin/ruby /usr/local/bin/global_mdatp_restarted.rb Defender.
Ale například /usr/bin/ruby /Library/Application Support/Global Manager/global_mdatp_restarted.rb , nebo dokonce nejsou /usr/bin/ruby /usr/local/bin/global_mdatp_restarted.rb $USER povoleny.
Upozornění
Abyste zabránili neočekávaným útokům, vždy používejte ta nejpřísnější kritéria.
Řešení potíží s konfigurací
Problém: Ochrana před falšováním se hlásí jako zakázaná
Pokud spuštění příkazu mdatp health hlásí, že ochrana proti manipulaci je zakázaná, i když jste ji povolili a od onboardingu uplynula více než hodina, můžete zkontrolovat, jestli máte správnou konfiguraci, spuštěním následujícího příkazu:
mdatp health --details tamper_protection
tamper_protection : "audit"
exclusions : [{"path":"/usr/bin/ruby","team_id":"","signing_id":"com.apple.ruby","args":["/usr/local/bin/global_mdatp_restarted.rb"]}] [managed]
feature_enabled_protection : true
feature_enabled_portal : true
configuration_source : "local"
configuration_local : "audit"
configuration_portal : "block"
configuration_default : "audit"
configuration_is_managed : false
-
tamper_protectionje efektivní režim. Pokud je tento režim režim, který jste chtěli použít, máte všechno nastavené. -
configuration_sourceurčuje, jak je nastavena úroveň vynucení ochrany před falšováním. Musí odpovídat způsobu, jakým jste nakonfigurovali ochranu před falšováním. (Pokud jste jeho režim nastavili prostřednictvím spravovaného profilu aconfiguration_sourcezobrazuje něco jiného, pravděpodobně jste svůj profil chybně nakonfigurovali.)-
mdm– konfiguruje se prostřednictvím spravovaného profilu. Pouze globální správce ho může změnit s aktualizací profilu. -
local– je nakonfigurovaný pomocímdatp configpříkazu -
portal– výchozí úroveň vynucení nastavená na portálu Zabezpečení -
defaults– nenakonfigurováno, použije se výchozí režim
-
- Pokud
feature_enabled_protectionje hodnota false, není pro vaši organizaci povolená ochrana před falšováním (stává se to, když Defender nenahlásí licencované). - Pokud
feature_enabled_portalje nepravda, nastavení výchozího režimu přes portál Security Portal pro vás zatím není povolené. -
configuration_local, sděluje režim, který by se použil, pokud byl použit odpovídající kanál konfigurace.configuration_portalconfiguration_default(Jako příklad můžete nakonfigurovat ochranu před falšováním do režimu blokování prostřednictvím profilu MDM aconfiguration_defaultřekne vámaudit. Znamená to jenom, že pokud odeberete svůj profil a režim nebyl nastaven pomocímdatp configportálu zabezpečení nebo prostřednictvím něj, použije se výchozí režim, kterým jeaudit.)
Poznámka
Abyste získali stejné informace před verzí 101.98.71, musíte zkontrolovat protokoly Programu Microsoft Defender. Tady je příklad.
$ sudo grep -F '[{tamperProtection}]: Feature state:' /Library/Logs/Microsoft/mdatp/microsoft_defender_core.log | tail -n 1
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.