Del via


Beskyt macOS-sikkerhedsindstillinger med beskyttelse mod manipulation

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Ændringsbeskyttelse i macOS hjælper med at forhindre uønskede ændringer af sikkerhedsindstillingerne i at blive foretaget af uautoriserede brugere. Manipulationsbeskyttelse hjælper med at forhindre uautoriseret fjernelse af Microsoft Defender for Endpoint på macOS. Denne funktion hjælper også vigtige sikkerhedsfiler, processer og konfigurationsindstillinger med at blive ændret.

Vigtigt!

Fra og med marts 2023 respekterer Microsoft Defender for Endpoint på macOS valget af manipulationsbeskyttelse, der anvendes via den globale skift til beskyttelse mod manipulation under avancerede indstillinger på Microsoft Defender-portalen (https://security.microsoft.com). Du kan vælge at gennemtvinge (blokere/overvåge/deaktivere) dine egne beskyttelsesindstillinger for macOS-tamper ved hjælp af en MDM-løsning (Mobile Device Management), f.eks. Intune eller JAMF (anbefales). Hvis indstillingen for beskyttelse mod ændring ikke blev gennemtvunget via MDM, kan en lokal administrator fortsætte med at ændre indstillingen manuelt med følgende kommando: sudo mdatp config tamper-protection enforcement-level --value (chosen mode).

Du kan angive ændringsbeskyttelse i følgende tilstande:

Artikel Beskrivelse
Handicappet Manipulationsbeskyttelse er helt slået fra.
Revision Manipulationshandlinger logføres, men blokeres ikke. Denne tilstand er standarden efter installationen.
Bloker Manipulationsbeskyttelse er slået til. manipulationshandlinger er blokeret.

Når beskyttelse mod ændring er indstillet til overvågning eller blokeringstilstand, kan du forvente følgende resultater:

Overvågningstilstand:

  • Handlinger til fjernelse af Defender for Endpoint Agent logføres (overvåges)
  • Redigering/ændring af Defender for Endpoint-filer logføres (overvåges)
  • Oprettelse af nye filer under Defender for Endpoint-placering logføres (overvåges)
  • Sletning af Defender for Endpoint-filer logføres (overvåges)
  • Omdøbning af Defender for Endpoint-filer logføres (overvåges)

Bloktilstand:

  • Handlinger til fjernelse af Defender for Endpoint Agent er blokeret
  • Redigering/ændring af Defender for Endpoint-filer er blokeret
  • Oprettelse af nye filer under Defender for Endpoint-placering er blokeret
  • Sletning af Defender for Endpoint-filer er blokeret
  • Omdøbning af Defender for Endpoint-filer er blokeret
  • Kommandoer til at stoppe agenten (wdavdaemon) mislykkes

Her er et eksempel på en systemmeddelelse som svar på en blokeret handling:

Skærmbillede af handlingsblokeret meddelelse.

Du kan konfigurere beskyttelsestilstanden for manipulation ved at angive tilstandsnavnet som håndhævelsesniveau.

Bemærk!

  • Tilstandsændringen gælder med det samme.
  • Hvis du brugte JAMF under den indledende konfiguration, skal du også opdatere konfigurationen ved hjælp af JAMF.

Før du begynder

  • Understøttede macOS-versioner: Big Sur (11) eller nyere
  • Minimumversion, der kræves for Defender for Endpoint: 101.70.19

Vigtigt!

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Stærkt anbefalede indstillinger:

  • System Integrity Protection (SIP) er aktiveret. Du kan få flere oplysninger under Deaktivering og aktivering af systemintegritetsbeskyttelse.

  • Brug et MDM-værktøj (Mobile Device Management) til at konfigurere Microsoft Defender for Endpoint.

  • Sørg for, at Defender for Endpoint har fuld tilladelse til diskadgang .

    Bemærk!

    Det er ikke obligatorisk at have SIP aktiveret, og al konfiguration udført via MDM er ikke obligatorisk, men kræves for en fuldt sikret enhed, da en lokal administrator ellers stadig kan foretage ændringer, som macOS administrerer. Hvis du f.eks. aktiverer TCC (Transparency, Consent & Control) via en løsning til administration af mobilenheder, f.eks . Intune, fjernes risikoen for, at en global administrator tilbagekalder tilladelsen Fuld diskadgang af en lokal administrator.

Konfigurer beskyttelse mod manipulation på macOS-enheder

Microsoft Defender evaluerer disse indstillinger i følgende rækkefølge. Hvis der er konfigureret en indstilling for højere prioritet, ignoreres resten:

  1. Administreret konfigurationsprofil (indstilling for tamperProtection/enforcementLevel):

  2. Manuel konfiguration (med mdatp config tamper-protection enforcement-level --value { disabled|audit|block })

  3. Hvis manipulationsbeskyttelse er aktiveret i Microsoft Defender-portalen, bruges tilstanden "bloker" (som prøveversion og ikke tilgængelig for alle kunder).

    • Hvis enheden er licenseret, bruges "overvågningstilstand" som standard.
    • Hvis enheden ikke er licenseret, er beskyttelse mod ændring i tilstanden "bloker".

Før du begynder

Sørg for, at enheden er licenseret og sund (rapport over tilsvarende værdier true):

mdatp health
healthy                                     : true
health_issues                               : []
licensed                                    : true
...
tamper_protection                           : "audit"

tamper_protection rapporterer det effektive håndhævelsesniveau.

Manuel konfiguration

  1. Brug følgende kommando til at skifte til den mest restriktive tilstand:
sudo mdatp config tamper-protection enforcement-level --value block

Billede af manuel konfigurationskommando

Bemærk!

Du skal bruge den administrerede konfigurationsprofil (installeret via MDM) på produktionsenheder. Hvis en lokal administrator har ændret beskyttelsestilstanden for manipulation via en manuel konfiguration, kan vedkommende også når som helst ændre den til en mindre restriktiv tilstand. Hvis beskyttelsestilstanden tamper blev angivet via en administreret profil, er det kun en global administrator, der kan fortryde den.

  1. Kontrollér resultatet.
healthy                                     : true
health_issues                               : []
licensed                                    : true
engine_version                              : "1.1.19300.3"
app_version                                 : "101.70.19"
org_id                                      : "..."
log_level                                   : "info"
machine_guid                                : "..."
release_ring                                : "InsiderFast"
product_expiration                          : Dec 29, 2022 at 09:48:37 PM
cloud_enabled                               : true
cloud_automatic_sample_submission_consent   : "safe"
cloud_diagnostic_enabled                    : false
passive_mode_enabled                        : false
real_time_protection_enabled                : true
real_time_protection_available              : true
real_time_protection_subsystem              : "endpoint_security_extension"
network_events_subsystem                    : "network_filter_extension"
device_control_enforcement_level            : "audit"
tamper_protection                           : "block"
automatic_definition_update_enabled         : true
definitions_updated                         : Jul 06, 2022 at 01:57:03 PM
definitions_updated_minutes_ago             : 5
definitions_version                         : "1.369.896.0"
definitions_status                          : "up_to_date"
edr_early_preview_enabled                   : "disabled"
edr_device_tags                             : []
edr_group_ids                               : ""
edr_configuration_version                   : "20.199999.main.2022.07.05.02-ac10b0623fd381e28133debe14b39bb2dc5b61af"
edr_machine_id                              : "..."
conflicting_applications                    : []
network_protection_status                   : "stopped"
data_loss_prevention_status                 : "disabled"
full_disk_access_enabled                    : true

Bemærk, at tamper_protection nu er angivet til block.

JAMF

Konfigurer beskyttelsestilstand for ændring i Microsoft Defender for Endpoint-konfigurationsprofilen ved at tilføje følgende indstillinger:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>tamperProtection</key>
    <dict>
      <key>enforcementLevel</key>
      <string>block</string>
    </dict>
  </dict>
</plist>

Bemærk!

Hvis du allerede har en konfigurationsprofil til Microsoft Defender for Endpoint, skal du føje indstillinger til den. Du bør ikke oprette endnu en konfigurationsprofil.

Intune

Indstillingskatalog

Du kan oprette en ny katalogprofil for indstillinger for at tilføje konfigurationen af Beskyttelse af tamper, eller du kan føje den til en eksisterende. Indstillingen "Håndhævelsesniveau" findes under kategorien "Microsoft Defender" og underkategorien "Tamper protection". Derefter skal du vælge det ønskede niveau.

Brugerdefineret profil

Alternativt kan du også konfigurere Tamper-beskyttelse via en brugerdefineret profil. Du kan finde flere oplysninger under Angiv indstillinger for Microsoft Defender for Endpoint på macOS.

Bemærk!

I forbindelse med Intune-konfigurationen kan du oprette en ny profilkonfigurationsfil for at tilføje konfigurationen af Beskyttelse af Tamper, eller du kan føje disse parametre til den eksisterende. Vælg det ønskede niveau.

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.wdav</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>tamperProtection</key>
                <dict>
                             <key>enforcementLevel</key>
                             <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Kontrollér status

Kontrollér beskyttelsesstatus for ændring ved at køre følgende kommando:

mdatp health --field tamper_protection

Resultatet viser "blok", hvis beskyttelse mod ændring er slået til:

Billede af manipulationsbeskyttelse i bloktilstand

Du kan også køre fuld mdatp health og søge efter "tamper_protection" i outputtet.

Kør mdatp health --details tamper_protectionfor at få udvidede oplysninger om beskyttelsesstatus for ændring.

Kontrollér forebyggende funktioner til beskyttelse af manipulation

Du kan bekræfte, at manipulationsbeskyttelse er aktiveret på forskellige måder.

Kontrollér bloktilstand

Der sendes en advarsel om indgreb på Microsoft Defender-portalen

Skærmbillede af besked om ændring, der er blevet vist på Microsoft Defender-portalen.

Bekræft bloktilstand og overvågningstilstande

  • Når du bruger avanceret jagt, kan du se, at der vises manipulationsbeskeder
  • Ændringshændelser kan findes i logfilerne for den lokale enhed: sudo grep -F '[{tamperProtection}]' /Library/Logs/Microsoft/mdatp/microsoft_defender_core.log

Skærmbillede af ændringsbeskyttelseslog.

GØR-det-selv-scenarier

  • Når manipulationsbeskyttelse er angivet til "blok", kan du forsøge at fjerne Defender for Endpoint på forskellige måder. Du kan f.eks. trække appfeltet til papirkurven eller fjerne beskyttelse mod manipulation ved hjælp af kommandolinjen.

  • Prøv at stoppe Defender for Endpoint-processen (kill).

  • Prøv at slette, omdøbe, redigere, flytte Defender for Endpoint-filer (svarer til, hvad en ondsindet bruger ville gøre), f.eks.:

    • /Applications/Microsoft Defender.app/
    • /Library/LaunchDaemons/com.microsoft.fresno.plist
    • /Library/LaunchDaemons/com.microsoft.fresno.uninstall.plist
    • /Library/LaunchAgents/com.microsoft.wdav.tray.plist
    • /Library/Managed Preferences/com.microsoft.wdav.ext.plist
    • /Library/Managed Preferences/mdatp_managed.json
    • /Library/Managed Preferences/com.microsoft.wdav.atp.plist
    • /Library/Managed Preferences/com.microsoft.wdav.atp.offboarding.plist
    • /usr/local/bin/mdatp

Deaktiver beskyttelse mod manipulation

Du kan slå Tamper Protection fra ved hjælp af en af følgende metoder.

Manuel konfiguration

Brug følgende kommando:

sudo mdatp config tamper-protection enforcement-level --value disabled

JAMF

Skift værdien enforcementLevel til "deaktiveret" i din konfigurationsprofil, og push den til enheden:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>tamperProtection</key>
    <dict>
      <key>enforcementLevel</key>
      <string>disabled</string>
    </dict>
  </dict>
</plist>

Intune

Tilføj følgende konfiguration i din Intune-profil:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.wdav</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>tamperProtection</key>
                <dict>
                  <key>enforcementLevel</key>
                  <string>disabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Udeladelser

Bemærk!

Tilgængelig i version 101.98.71 eller nyere.

Ændringsbeskyttelse forhindrer, at macOS-processer foretager ændringer af Microsoft Defenders aktiver eller stopper Microsoft Defenders processer. Beskyttede aktiver omfatter installations- og konfigurationsfiler.

Internt gør Microsoft Defender undtagelser fra visse macOS-processer under visse omstændigheder. MacOS kan f.eks. opgradere Defender-pakken, hvis ændringsbeskyttelse bekræfter pakkernes autenticitet. Der er også andre undtagelser. MacOS MDM-processen kan f.eks. erstatte Microsofts Defender-administrerede konfigurationsfiler.

Der er situationer, hvor en global administrator skal genstarte Defender på alle eller nogle administrerede enheder. Det gøres typisk ved at oprette og køre en JAMF-politik, der kører et script på eksterne enheder (eller lignende handlinger for andre MDM-leverandører).

For at undgå at markere disse politikinitierede handlinger registrerer Microsoft Defender disse MDM-politikprocesser for JAMF og Intune og tillader manipulationshandlinger fra dem. Samtidig blokerer manipulationsbeskyttelse det samme script fra at genstarte Microsoft Defender, hvis det startes fra en terminal lokalt.

Disse politikker, der kører processer, er dog leverandørspecifikke. Selvom Microsoft Defender indeholder indbyggede undtagelser for JAMF og Intune, kan den ikke levere disse undtagelser for alle mulige MDM-leverandører. En global administrator kan i stedet tilføje deres egne undtagelser for at ændre beskyttelsen. Udeladelser kan kun udføres via MDM-profil og ikke lokal konfiguration.

Det gør du ved først at finde frem til stien til den MDM-hjælpeproces, der kører politikker. Du kan gøre det enten ved at følge MDM-forhandlerens dokumentation. Du kan også starte manipulation med en testpolitik, få en besked på sikkerhedsportalen, inspicere hierarkiet af processer, der startede angrebet, og vælge den proces, der ligner en MDM-hjælpekandidat.

Når processtien er identificeret, har du få valgmuligheder for, hvordan du konfigurerer en udeladelse:

  • Af selve stien. Det er den enkleste (du har allerede denne sti), og den mindst sikre måde at gøre det på, med andre ord, anbefales ikke.
  • Ved at hente signerings-id'et fra den eksekverbare fil, enten TeamIdentifier eller signerings-id, ved at køre codesign -dv --verbose=4 path_to_helper (søg efter id og TeamIdentifier, er sidstnævnte ikke tilgængelig for Apples egne værktøjer).
  • Eller ved at bruge en kombination af disse attributter.

Eksempel:

codesign -dv --verbose=4 /usr/bin/ruby
Executable=/usr/bin/ruby
Identifier=com.apple.ruby
Format=Mach-O universal (x86_64 arm64e)
CodeDirectory v=20400 size=583 flags=0x0(none) hashes=13+2 location=embedded
Platform identifier=14
VersionPlatform=1
VersionMin=852992
VersionSDK=852992
Hash type=sha256 size=32
CandidateCDHash sha256=335c10d40db9417d80db87f658f6565018a4c3d6
CandidateCDHashFull sha256=335c10d40db9417d80db87f658f6565018a4c3d65ea3b850fc76c59e0e137e20
Hash choices=sha256
CMSDigest=335c10d40db9417d80db87f658f6565018a4c3d65ea3b850fc76c59e0e137e20
CMSDigestType=2
Executable Segment base=0
Executable Segment limit=16384
Executable Segment flags=0x1
Page size=4096
Launch Constraints:
  None
CDHash=335c10d40db9417d80db87f658f6565018a4c3d6
Signature size=4442
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Signed Time=Apr 15, 2023 at 4:45:52 AM
Info.plist=not bound
TeamIdentifier=not set
Sealed Resources=none
Internal requirements count=1 size=64

Konfigurer indstillinger, f.eks. JAMF:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>tamperProtection</key>
    <dict>
      <key>enforcementLevel</key>
      <string>block</string>
      <key>exclusions</key>
      <array>
        <dict>
          <key>path</key>
          <string>/usr/bin/ruby</string>
          <key>teamId</key>
          <string/>
          <key>signingId</key>
          <string>com.apple.ruby</string>
          <key>args</key>
          <array>
            <string>/usr/local/bin/global_mdatp_restarted.rb</string>
          </array>
        </dict>
      </array>
    </dict>
  </dict>
</plist>

Bemærk, at det ikke er sikkert at udelade en scriptfortolker (f.eks. Ruby fra eksemplet ovenfor) i stedet for en kompileret eksekverbar fil, da det kan køre et hvilket som helst script, ikke kun det, som en global administrator bruger.

For at minimere risikoen anbefaler vi, at du bruger ekstra args for kun at tillade, at bestemte scripts køres med scriptfortolker. I eksemplet ovenfor er det kun /usr/bin/ruby /usr/local/bin/global_mdatp_restarted.rb tilladt at genstarte Defender. Men, for eksempel, /usr/bin/ruby /Library/Application Support/Global Manager/global_mdatp_restarted.rb eller endda /usr/bin/ruby /usr/local/bin/global_mdatp_restarted.rb $USER er ikke tilladt.

Advarsel

Brug altid de mest restriktive kriterier for at forhindre uventede angreb!

Fejlfinding af konfigurationsproblemer

Problem: Ændringsbeskyttelse rapporteres som deaktiveret

Hvis kørsel af kommandoen mdatp health rapporterer, at beskyttelse mod manipulation er deaktiveret, selvom du har aktiveret den, og der er gået mere end en time siden onboarding, kan du kontrollere, om du har den rigtige konfiguration, ved at køre følgende kommando:

mdatp health --details tamper_protection
tamper_protection                           : "audit"
exclusions                                  : [{"path":"/usr/bin/ruby","team_id":"","signing_id":"com.apple.ruby","args":["/usr/local/bin/global_mdatp_restarted.rb"]}] [managed]
feature_enabled_protection                  : true
feature_enabled_portal                      : true
configuration_source                        : "local"
configuration_local                         : "audit"
configuration_portal                        : "block"
configuration_default                       : "audit"
configuration_is_managed                    : false
  • tamper_protection er den effektive tilstand. Hvis denne tilstand er den tilstand, du vil bruge, er du klar.
  • configuration_source angiver, hvordan håndhævelsesniveauet for ændring af beskyttelse er angivet. Den skal stemme overens med den måde, du konfigurerede manipulationsbeskyttelse på. (Hvis du angiver dens tilstand via en administreret profil og configuration_source viser noget andet, har du sandsynligvis konfigureret din profil forkert).
    • mdm – den konfigureres via en administreret profil. Det er kun en global administrator, der kan ændre den med en opdatering til profilen!
    • local – den er konfigureret med mdatp config kommandoen
    • portal – standardniveau for håndhævelse angivet i Sikkerhedsportal
    • defaults - ikke konfigureret, bruges standardtilstanden
  • Hvis feature_enabled_protection er falsk, er ændringsbeskyttelse ikke aktiveret for din organisation (det sker, hvis Defender ikke rapporterer 'licenseret')
  • Hvis feature_enabled_portal er falsk, er indstillingen af standardtilstand via Sikkerhedsportal endnu ikke aktiveret for dig.
  • configuration_local, configuration_portalconfiguration_default fortæller den tilstand, der ville blive brugt, hvis den tilsvarende konfigurationskanal blev brugt. (Du kan f.eks. konfigurere manipulationsbeskyttelse til "bloktilstand" via en MDM-profil og configuration_default fortælle dig audit. Det betyder kun, at hvis du fjerner din profil, og tilstanden ikke blev angivet med mdatp config eller via Sikkerhedsportal, bruger den standardtilstanden , som er audit.)

Bemærk!

Du skal undersøge Microsoft Defenders logge for at få de samme oplysninger før version 101.98.71. Her er et eksempel.

$ sudo grep -F '[{tamperProtection}]: Feature state:' /Library/Logs/Microsoft/mdatp/microsoft_defender_core.log | tail -n 1

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.