Manipulation ist der allgemeine Begriff, der verwendet wird, um Angreifer versuche zu beschreiben, die Effektivität von Microsoft Defender for Endpoint zu beeinträchtigen. Das ultimative Ziel von Angreifern ist es nicht, nur ein Gerät zu beeinflussen, sondern vielmehr, ihr Ziel zu erreichen, z. B. das Starten eines Ransomware-Angriffs. Daher reichen die Anti-Manipulationsfunktionen von Microsoft Defender for Endpoint über die Verhinderung der Manipulation eines einzelnen Geräts hinaus, um Angriffe zu erkennen und deren Auswirkungen zu minimieren.
Auf Windows-Geräten kann Microsoft Defender Antivirus mithilfe von Gruppenrichtlinie, Windows-Verwaltungsinstrumentation (WMI) und PowerShell-Cmdlets verwaltet werden. Diese Methoden sind jedoch anfälliger für Manipulationen als die Verwendung von Microsoft Intune, Configuration Manager oder Microsoft Defender for Endpoint Sicherheitskonfigurationsverwaltung.
Wenn Sie Gruppenrichtlinie verwenden, empfiehlt es sich, lokale Außerkraftsetzungen für Microsoft Defender Antiviruseinstellungen zu deaktivieren und das Zusammenführen lokaler Listen zu deaktivieren.
Verhindern von Manipulationen auf einem einzelnen Gerät
Angreifer verwenden verschiedene Manipulationstechniken, um Microsoft Defender for Endpoint auf einem einzelnen Gerät zu deaktivieren. Diese Techniken werden auf verschiedenen Betriebssystemen unterschiedlich verhindert.
Grundlegendes zu den verschiedenen Möglichkeiten zum Verhindern von treiberbasierten Manipulationen unter Windows
Eine der gängigsten Manipulationstechniken ist die Verwendung eines anfälligen Treibers, um Zugriff auf den Kernel zu erhalten. Dieser Treiber ist häufig in einem einfach bereitzustellenden Tool enthalten, aber die zugrunde liegende Technik ist die gleiche.
Um zu verhindern, dass ein Treiber auf einem einzelnen Gerät manipuliert, muss das Gerät so konfiguriert werden, dass das Laden dieses Treibers vor dem Angriff blockiert wird.
Microsoft bietet mehrere Möglichkeiten, um Geräte gut geschützt und vor treiberbasierten Manipulationen auf dem neuesten Stand zu halten.
Umfassendster Schutz – Sperrliste für anfällige Microsoft-Treiber
Die Sperrliste wird mit jeder neuen Hauptversion von Windows aktualisiert, in der Regel 1-2 Mal pro Jahr. Microsoft veröffentlicht gelegentlich zukünftige Updates im Rahmen der regelmäßigen Windows-Wartung. Mit Windows 11 Update 2022 ist die Sperrliste für anfällige Treiber standardmäßig für alle Geräte aktiviert, erfordert jedoch entweder speicherintegrität (auch als Hypervisor-geschützte Codeintegrität oder HVCI bezeichnet), Smart App Control oder S Modus aktiv zu sein.
Für Geräte, die diese Anforderungen nicht erfüllen, kann diese Liste der Treiber mithilfe Windows Defender Anwendungssteuerungsrichtlinie blockiert werden.
Schnellere Updates: Asr-Regel für anfällige und signierte Treiber blockieren
Diese Liste der Treiber, die von den ausgenutzten und anfälligen Treibern blockiert wurden, wird häufiger aktualisiert als die Liste der empfohlenen Treiber. ASR-Regeln können zuerst im Überwachungsmodus ausgeführt werden, um sicherzustellen, dass es keine Auswirkungen gibt, bevor Sie die Regel im Blockmodus anwenden.
Andere Treiber blockieren – Windows Defender Application Control (WDAC)
Angreifer können versuchen, Treiber zu verwenden, die weder durch die empfohlene Treiberblockierungsliste noch durch eine ASR-Regel blockiert werden. In diesem Fall können Kunden sich selbst schützen, indem sie WDAC verwenden, um eine Richtlinie zum Blockieren zu erstellen.
WDAC bietet auch einen Überwachungsmodus, um die Auswirkungen der Anwendung der Richtlinie im Blockmodus zu verstehen, um versehentliche Auswirkungen auf die rechtmäßige Verwendung zu vermeiden.
Verhindern von Manipulationen über Microsoft Defender Antivirusausschlüsse unter Windows
Ein gängiges Verfahren von Angreifern besteht darin, nicht autorisierte Änderungen an Antivirenausschlüssen vorzunehmen. Der Manipulationsschutz verhindert, dass solche Angriffe auftreten, wenn alle der folgenden Bedingungen erfüllt sind:
In diesem Modul wird untersucht, wie Microsoft Defender für Endpunkt Unternehmensnetzwerke dabei unterstützt, erweiterte Bedrohungen mithilfe von Endpunktverhaltenssensoren, Cloudsicherheitsanalysen und Threat Intelligence zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. MS-102
Planen Sie eine Endpunktbereitstellungsstrategie und führen diese mithilfe von wesentlichen Elemente moderner Verwaltung, Co-Management-Ansätzen und Microsoft Intune-Integration aus.
Untersuchen Sie betroffene Geräte, indem Sie Warnungen, Netzwerkverbindungsinformationen, Gerätetags und -gruppen hinzufügen und die Dienstintegrität überprüfen.
Verwenden Sie den Microsoft Defender Antivirusbericht, um antiviren status und Microsoft Defender Antivirus-Engine, Intelligenz und Plattformversionen nachzuverfolgen.
Sie können Microsoft Defender Antivirus so konfigurieren, dass E-Mail-Speicherdateien, Sicherungs- oder Analysepunkte, Netzwerkdateien und archivierte Dateien (z. B. .zip Dateien) überprüft werden.