Auf Englisch lesen

Freigeben über


Schützen Sie Ihre organization vor Manipulationen

Manipulation ist der allgemeine Begriff, der verwendet wird, um Angreifer versuche zu beschreiben, die Effektivität von Microsoft Defender for Endpoint zu beeinträchtigen. Das ultimative Ziel von Angreifern ist es nicht, nur ein Gerät zu beeinflussen, sondern vielmehr, ihr Ziel zu erreichen, z. B. das Starten eines Ransomware-Angriffs. Daher reichen die Anti-Manipulationsfunktionen von Microsoft Defender for Endpoint über die Verhinderung der Manipulation eines einzelnen Geräts hinaus, um Angriffe zu erkennen und deren Auswirkungen zu minimieren.

Gilt für:

Organisationsweite Manipulationsresilienz basiert auf Zero Trust

Die Grundlage für den Schutz vor Manipulationen ist die Anwendung eines Zero Trust Modells.

Um einen effektiven Schutz vor Manipulationen zu bieten, müssen Geräte fehlerfrei sein.

Hinweis

Auf Windows-Geräten kann Microsoft Defender Antivirus mithilfe von Gruppenrichtlinie, Windows-Verwaltungsinstrumentation (WMI) und PowerShell-Cmdlets verwaltet werden. Diese Methoden sind jedoch anfälliger für Manipulationen als die Verwendung von Microsoft Intune, Configuration Manager oder Microsoft Defender for Endpoint Sicherheitskonfigurationsverwaltung. Wenn Sie Gruppenrichtlinie verwenden, empfiehlt es sich, lokale Außerkraftsetzungen für Microsoft Defender Antiviruseinstellungen zu deaktivieren und das Zusammenführen lokaler Listen zu deaktivieren.

Sie können die Integritäts-status für Microsoft Defender Antivirus-Integrität und -Sensoren in den Berichten zur Geräteintegrität in Microsoft Defender for Endpoint anzeigen.

Verhindern von Manipulationen auf einem einzelnen Gerät

Angreifer verwenden verschiedene Manipulationstechniken, um Microsoft Defender for Endpoint auf einem einzelnen Gerät zu deaktivieren. Diese Techniken werden auf verschiedenen Betriebssystemen unterschiedlich verhindert.

Control Betriebssystem Technikfamilien
Manipulationsschutz Windows - Beenden/Anhalten von Prozessen
- Beenden/Anhalten/Anhalten von Diensten
– Ändern von Registrierungseinstellungen einschließlich Ausschlüssen
- Manipulation/Hijacking DLLs
- Manipulation/Änderung des Dateisystems
- Agent-Integrität
Manipulationsschutz Mac - Beenden/Anhalten von Prozessen
- Manipulation/Änderung des Dateisystems
- Agent-Integrität
Regeln zur Verringerung der Angriffsfläche Windows Kerneltreiber (siehe Blockieren des Missbrauchs ausgenutzter anfälliger signierter Treiber)
Windows Defender-Anwendungssteuerung (WDAC) Windows Kerneltreiber (siehe Microsoft-Sperrliste für anfällige Treiber)

Grundlegendes zu den verschiedenen Möglichkeiten zum Verhindern von treiberbasierten Manipulationen unter Windows

Eine der gängigsten Manipulationstechniken ist die Verwendung eines anfälligen Treibers, um Zugriff auf den Kernel zu erhalten. Dieser Treiber ist häufig in einem einfach bereitzustellenden Tool enthalten, aber die zugrunde liegende Technik ist die gleiche.

Um zu verhindern, dass ein Treiber auf einem einzelnen Gerät manipuliert, muss das Gerät so konfiguriert werden, dass das Laden dieses Treibers vor dem Angriff blockiert wird.

Microsoft bietet mehrere Möglichkeiten, um Geräte gut geschützt und vor treiberbasierten Manipulationen auf dem neuesten Stand zu halten.

Umfassendster Schutz – Sperrliste für anfällige Microsoft-Treiber

Die Sperrliste wird mit jeder neuen Hauptversion von Windows aktualisiert, in der Regel 1-2 Mal pro Jahr. Microsoft veröffentlicht gelegentlich zukünftige Updates im Rahmen der regelmäßigen Windows-Wartung. Mit Windows 11 Update 2022 ist die Sperrliste für anfällige Treiber standardmäßig für alle Geräte aktiviert, erfordert jedoch entweder speicherintegrität (auch als Hypervisor-geschützte Codeintegrität oder HVCI bezeichnet), Smart App Control oder S Modus aktiv zu sein.

Siehe Sperrliste für anfällige Microsoft-Treiber.

Für Geräte, die diese Anforderungen nicht erfüllen, kann diese Liste der Treiber mithilfe Windows Defender Anwendungssteuerungsrichtlinie blockiert werden.

Weitere Informationen finden Sie unter XML der Blockliste für anfällige Treiber.

Schnellere Updates: Asr-Regel für anfällige und signierte Treiber blockieren

Diese Liste der Treiber, die von den ausgenutzten und anfälligen Treibern blockiert wurden, wird häufiger aktualisiert als die Liste der empfohlenen Treiber. ASR-Regeln können zuerst im Überwachungsmodus ausgeführt werden, um sicherzustellen, dass es keine Auswirkungen gibt, bevor Sie die Regel im Blockmodus anwenden.

Weitere Informationen finden Sie unter Block abuse of exploited vulnerable signed drivers rule (Blockieren des Missbrauchs von ausnutzten anfälligen signierten Treibern).

Andere Treiber blockieren – Windows Defender Application Control (WDAC)

Angreifer können versuchen, Treiber zu verwenden, die weder durch die empfohlene Treiberblockierungsliste noch durch eine ASR-Regel blockiert werden. In diesem Fall können Kunden sich selbst schützen, indem sie WDAC verwenden, um eine Richtlinie zum Blockieren zu erstellen.

WDAC bietet auch einen Überwachungsmodus, um die Auswirkungen der Anwendung der Richtlinie im Blockmodus zu verstehen, um versehentliche Auswirkungen auf die rechtmäßige Verwendung zu vermeiden.

Verhindern von Manipulationen über Microsoft Defender Antivirusausschlüsse unter Windows

Ein gängiges Verfahren von Angreifern besteht darin, nicht autorisierte Änderungen an Antivirenausschlüssen vorzunehmen. Der Manipulationsschutz verhindert, dass solche Angriffe auftreten, wenn alle der folgenden Bedingungen erfüllt sind:

Weitere Informationen finden Sie unter Manipulationsschutz für Antivirenausschlüsse.

Angreifer können verhindern, dass vorhandene Antivirenausschlüsse erkannt werden, indem sie HideExclusionsFromLocalAdmin aktivieren.

Erkennen potenzieller Manipulationsaktivitäten im Microsoft Defender-Portal

Wenn Manipulationen erkannt werden, wird eine Warnung ausgelöst. Einige der Warnungstitel für Manipulationen sind:

  • Versuch, Microsoft Defender for Endpoint Clientschutz zu umgehen
  • Versuch, Microsoft Defender for Endpoint Sensor zu beenden
  • Versuch, Microsoft Defender auf mehreren Geräten zu manipulieren
  • Versuch, Microsoft Defender Antivirus-Schutz zu deaktivieren
  • Umgehung der Defender-Erkennung
  • Treiberbasierter Manipulationsversuch blockiert
  • Für Manipulationszwecke festgelegte Optionen für die Ausführung von Bilddateien
  • Microsoft Defender Antivirusschutz deaktiviert
  • Microsoft Defender Antivirus-Manipulation
  • Änderungsversuch in Microsoft Defender Antivirus-Ausschlussliste
  • Mechanismus für ausstehende Dateivorgänge, der zu Manipulationszwecken missbraucht wird
  • Mögliche Manipulation der Antischadsoftware-Scanschnittstelle (AMSI)
  • Mögliche Remotemanipulation
  • Mögliche Sensormanipulation im Arbeitsspeicher
  • Möglicher Versuch, MDE über Treiber zu manipulieren
  • Manipulation von Sicherheitssoftware
  • Ausschluss verdächtiger Microsoft Defender Antivirus
  • Manipulationsschutzumgehung
  • Manipulationsaktivität, die typisch für Ransomware-Angriffe ist
  • Manipulation durch Microsoft Defender for Endpoint Sensorkommunikation
  • Manipulation mit Microsoft Defender for Endpoint Sensoreinstellungen
  • Manipulation des Microsoft Defender for Endpoint-Sensors

Wenn die Regel Zur Verringerung der Angriffsfläche missbrauchter anfälliger Treiber blockieren ausgelöst wird, kann das Ereignis im ASR-Bericht und in der erweiterten Suche angezeigt werden.

Wenn Windows Defender Anwendungssteuerung (WDAC) aktiviert ist, werden die Block- und Überwachungsaktivitäten unter Erweiterte Suche angezeigt.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.