Condividi tramite

Proteggere l'organizzazione dagli effetti della manomissione

  • Articolo

Manomissione è il termine generale usato per descrivere i tentativi degli utenti malintenzionati di compromettere l'efficacia delle Microsoft Defender per endpoint. L'obiettivo finale degli utenti malintenzionati non è quello di influenzare un solo dispositivo, ma piuttosto di raggiungere il loro obiettivo, ad esempio il lancio di un attacco ransomware. Di conseguenza, le funzionalità di antimanomissione di Microsoft Defender per endpoint vanno oltre la prevenzione della manomissione di un singolo dispositivo per rilevare gli attacchi e ridurne al minimo l'impatto.

Si applica a:

La resilienza delle manomissioni a livello di organizzazione è basata su Zero Trust

La base per la difesa dalla manomissione è l'applicazione di un modello di Zero Trust.

Per fornire una difesa efficace contro la manomissione, i dispositivi devono essere integri.

Nota

Nei dispositivi Windows, Microsoft Defender Antivirus può essere gestito usando Criteri di gruppo, Strumentazione gestione Windows (WMI) e cmdlet di PowerShell. Tuttavia, questi metodi sono più soggetti a manomissioni rispetto all'uso di Microsoft Intune, Configuration Manager o Microsoft Defender per endpoint Gestione configurazione di sicurezza. Se si usa Criteri di gruppo, è consigliabile disabilitare le sostituzioni locali per Microsoft Defender impostazioni antivirus e disabilitare l'unione dell'elenco locale.

È possibile visualizzare lo stato di integrità per Microsoft Defender l'integrità antivirus e i sensori nei report sull'integrità dei dispositivi in Microsoft Defender per endpoint.

Prevenzione della manomissione in un singolo dispositivo

Gli utenti malintenzionati usano varie tecniche di manomissione per disabilitare Microsoft Defender per endpoint in un singolo dispositivo. Queste tecniche vengono evitate in modo diverso nei diversi sistemi operativi.

Controllo Sistema operativo Famiglie di tecniche
Protezione da manomissioni Windows - Terminazione/sospensione dei processi
- Arresto/sospensione/sospensione dei servizi
- Modifica delle impostazioni del Registro di sistema, incluse le esclusioni
- Manipolazione/dirottamento delle DLL
- Manipolazione/modifica del file system
- Integrità dell'agente
Protezione da manomissioni Mac - Terminazione/sospensione dei processi
- Manipolazione/modifica del file system
- Integrità dell'agente
Regole per la riduzione della superficie di attacco Windows Driver del kernel (vedere Bloccare l'abuso di driver firmati vulnerabili sfruttati)
Windows Defender controllo applicazione (WDAC) Windows Driver del kernel (vedere l'elenco dei blocchi dei driver vulnerabili Microsoft)

Informazioni sui diversi modi per evitare manomissioni basate su driver in Windows

Una delle tecniche di manomissione più comuni consiste nell'usare un driver vulnerabile per ottenere l'accesso al kernel. Questo driver è spesso racchiuso in uno strumento facile da distribuire, ma la tecnica sottostante è la stessa.

Per evitare manomissioni basate su driver in un singolo dispositivo, il dispositivo deve essere configurato per bloccare il caricamento del driver prima dell'attacco.

Microsoft offre diversi modi per mantenere i dispositivi ben protetti e aggiornati in caso di manomissioni basate su driver.

Protezione più ampia - Elenco di blocchi dei driver vulnerabili Microsoft

L'elenco blocchi viene aggiornato con ogni nuova versione principale di Windows, in genere 1-2 volte all'anno. Microsoft pubblicherà occasionalmente aggiornamenti futuri tramite la normale manutenzione di Windows. Con Windows 11 aggiornamento 2022, l'elenco di blocchi dei driver vulnerabili è abilitato per impostazione predefinita per tutti i dispositivi, ma richiede che sia attiva l'integrità della memoria (nota anche come integrità del codice protetta da hypervisor o HVCI), Il controllo app intelligente o la modalità S.

Vedere l'elenco dei blocchi dei driver vulnerabili microsoft.

Per i dispositivi che non soddisfano tali requisiti, questo elenco di driver può essere bloccato usando Windows Defender criteri di controllo delle applicazioni.

Vedere Codice XML dell'elenco di blocchi del driver vulnerabile.

Aggiornamenti più veloci - Blocca la regola ASR dei driver vulnerabili e firmati sfruttati

Questo elenco di driver bloccati dai driver sfruttati e vulnerabili viene aggiornato più frequentemente rispetto all'elenco di blocchi dei driver consigliati. Le regole asr possono essere eseguite prima in modalità di controllo per assicurarsi che non vi sia alcun impatto prima di applicare la regola in modalità blocco.

Vedere Bloccare l'uso improprio della regola dei driver firmati vulnerabili sfruttati.

Blocca altri driver - Windows Defender controllo applicazione (WDAC)

Gli utenti malintenzionati potrebbero tentare di usare driver che non sono bloccati dall'elenco di blocchi dei driver consigliati o da una regola asr. In questo caso, i clienti possono proteggersi usando WDAC per creare un criterio da bloccare

WDAC offre anche una modalità di controllo che consente di comprendere l'impatto dell'applicazione dei criteri in modalità blocco per evitare di influire accidentalmente sull'uso legittimo.

Prevenzione della manomissione tramite esclusioni antivirus Microsoft Defender in Windows

Una tecnica comune usata dagli utenti malintenzionati consiste nell'apportare modifiche non autorizzate alle esclusioni antivirus. La protezione dalle manomissioni impedisce che tali attacchi si verifichino quando vengono soddisfatte tutte le condizioni seguenti:

Per altre informazioni, vedere Protezione antimanomissione per le esclusioni antivirus.

Gli utenti malintenzionati possono impedire l'individuazione delle esclusioni antivirus esistenti abilitando HideExclusionsFromLocalAdmin.

Rilevamento di potenziali attività di manomissione nel portale di Microsoft Defender

Quando viene rilevata manomissione, viene generato un avviso. Alcuni dei titoli di avviso per la manomissione sono:

  • Tentativo di ignorare Microsoft Defender per endpoint protezione client
  • Tentativo di arrestare Microsoft Defender per endpoint sensore
  • Tentativo di manomissione di Microsoft Defender in più dispositivi
  • Tentativo di disattivare Microsoft Defender protezione antivirus
  • Bypass di rilevamento di Defender
  • Tentativo di manomissione basato su driver bloccato
  • Opzioni di esecuzione del file di immagine impostate a scopo di manomissione
  • protezione antivirus Microsoft Defender disattivata
  • Microsoft Defender manomissione dell'antivirus
  • Tentativo di modifica nell Microsoft Defender elenco di esclusione antivirus
  • Meccanismo di operazioni di file in sospeso abusato a scopo di manomissione
  • Possibile manomissione dell'interfaccia amsi (Antimalware Scan Interface)
  • Possibile manomissione remota
  • Possibile manomissione del sensore in memoria
  • Potenziale tentativo di manomissione di MDE tramite driver
  • Manomissione del software di sicurezza
  • Esclusione sospetta Microsoft Defender antivirus
  • Bypass di protezione delle manomissioni
  • Attività di manomissione tipica degli attacchi ransomware
  • Manomissione della comunicazione del sensore Microsoft Defender per endpoint
  • Manomissione delle impostazioni del sensore Microsoft Defender per endpoint
  • Manomissione del sensore Microsoft Defender per endpoint

Se viene attivata la regola blocca l'abuso di driver firmati vulnerabili sfruttati , l'evento è visualizzabile nel report asr e in Ricerca avanzata

Se Windows Defender controllo delle applicazioni (WDAC) è abilitato, l'attività di blocco e controllo può essere visualizzata in Ricerca avanzata.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.