Ochrona organizacji przed skutkami naruszenia
Manipulowanie jest ogólnym terminem używanym do opisywania osób atakujących próbujących osłabić skuteczność Ochrona punktu końcowego w usłudze Microsoft Defender. Ostatecznym celem atakujących nie jest wpływ tylko na jedno urządzenie, ale raczej osiągnięcie celu, takiego jak uruchomienie ataku wymuszającego okup. W związku z tym możliwości ochrony przed naruszeniami Ochrona punktu końcowego w usłudze Microsoft Defender wykraczają poza zapobieganie manipulowaniu pojedynczym urządzeniem w celu wykrywania ataków i minimalizowania ich wpływu.
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
- Microsoft Defender dla Firm
Podstawą do obrony przed manipulacjami jest podążanie za modelem Zero Trust.
- Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi najniższych uprawnień. Zobacz Omówienie kontroli dostępu dla systemu Windows.
- Skonfiguruj zasady dostępu warunkowego , aby zapewnić izolowanie niezaufanych użytkowników i urządzeń.
Aby zapewnić skuteczną ochronę przed naruszeniami, urządzenia muszą być w dobrej kondycji.
- Dołączanie urządzeń do usługi Defender for Endpoint.
- Upewnij się, że zainstalowano analizę zabezpieczeń i aktualizacje oprogramowania antywirusowego .
- Urządzenia zarządzane centralnie, takie jak Microsoft Intune, Ochrona punktu końcowego w usłudze Microsoft Defender Security Configuration Management lub Configuration Manager.
Uwaga
Na urządzeniach z systemem Windows program antywirusowy Microsoft Defender można zarządzać przy użyciu poleceń cmdlet zasady grupy, Instrumentacji zarządzania windows (WMI) i programu PowerShell. Jednak metody te są bardziej podatne na manipulacje niż przy użyciu Microsoft Intune, Configuration Manager lub Ochrona punktu końcowego w usłudze Microsoft Defender Security Configuration Management. Jeśli używasz zasady grupy, zalecamy wyłączenie lokalnych przesłonięcia dla ustawień programu antywirusowego Microsoft Defender i wyłączenie scalania listy lokalnej.
Stan kondycji programu Microsoft Defender Antywirusowe i czujniki można wyświetlić w raportach dotyczących kondycji urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender.
Osoby atakujące używają różnych technik manipulowania, aby wyłączyć Ochrona punktu końcowego w usłudze Microsoft Defender na jednym urządzeniu. Techniki te nie są inaczej stosowane w różnych systemach operacyjnych.
Kontroli | OS | Rodziny technik |
---|---|---|
Ochrona przed naruszeniami | System Windows | — Przerywanie/zawieszanie procesów — Zatrzymywanie/wstrzymywanie/zawieszanie usług - Modyfikowanie ustawień rejestru, w tym wykluczeń — Manipulowanie/przejmowanie bibliotek DLL — Manipulowanie/modyfikowanie systemu plików - Integralność agenta |
Ochrona przed naruszeniami | Mac | — Przerywanie/zawieszanie procesów — Manipulowanie/modyfikowanie systemu plików - Integralność agenta |
Reguły zmniejszania obszaru podatnego na ataki | System Windows | Sterowniki jądra (zobacz Blokowanie nadużywania wykorzystywanych sterowników z podpisem narażonych na luki w zabezpieczeniach) |
Windows Defender Application Control (WDAC) | System Windows | Sterowniki jądra (zobacz lista zablokowanych sterowników narażonych na zagrożenia firmy Microsoft) |
Jedną z najczęstszych technik manipulowania jest użycie czynnika podatnego na zagrożenia w celu uzyskania dostępu do jądra. Ten sterownik jest często opakowany w łatwe do wdrożenia narzędzie, ale podstawowa technika jest taka sama.
Aby zapobiec naruszeniu sterownika na jednym urządzeniu, należy skonfigurować urządzenie tak, aby blokowało ładowanie tego sterownika przed atakiem.
Firma Microsoft oferuje kilka sposobów zapewnienia dobrej ochrony urządzeń i aktualności przed manipulacjami opartymi na sterownikach.
Lista zablokowanych jest aktualizowana przy użyciu każdej nowej wersji głównej systemu Windows, zazwyczaj 1–2 razy w roku. Firma Microsoft będzie od czasu do czasu publikować przyszłe aktualizacje za pośrednictwem regularnej obsługi systemu Windows. W przypadku aktualizacji Windows 11 2022 r. lista zablokowanych sterowników narażonych na zagrożenia jest domyślnie włączona dla wszystkich urządzeń, ale wymaga, aby integralność pamięci (znana również jako integralność kodu chronionego przez funkcję hypervisor lub HVCI), inteligentna kontrola aplikacji lub tryb S były aktywne.
Zobacz lista zablokowanych sterowników firmy Microsoft, która jest podatna na zagrożenia.
W przypadku urządzeń, które nie spełniają tych wymagań, ta lista sterowników może zostać zablokowana przy użyciu Windows Defender zasad kontroli aplikacji.
Zobacz plik XML listy zablokowanych sterowników podatnych na zagrożenia.
Szybsze aktualizacje — blokowanie narażonych na luki w zabezpieczeniach i podpisanych sterowników reguły ASR
Ta lista sterowników zablokowanych przez kierowców narażonych na luki w zabezpieczeniach jest aktualizowana częściej niż zalecana lista zablokowanych sterowników. Reguły usługi ASR można najpierw uruchomić w trybie inspekcji, aby upewnić się, że nie ma wpływu przed zastosowaniem reguły w trybie bloku.
Zobacz Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników.
Osoby atakujące mogą próbować używać sterowników, które nie są blokowane przez zalecaną listę zablokowanych sterowników lub regułę usługi ASR. W takim przypadku klienci mogą się chronić za pomocą usługi WDAC, aby utworzyć zasady do blokowania
WDAC udostępnia również tryb inspekcji, aby ułatwić zrozumienie wpływu stosowania zasad w trybie bloku, aby uniknąć przypadkowego wpływu na prawidłowe użycie.
Zapobieganie manipulowaniu za pośrednictwem wykluczeń programu antywirusowego Microsoft Defender w systemie Windows
Typową techniką stosowaną przez osoby atakujące jest wprowadzanie nieautoryzowanych zmian w wykluczeniach antywirusowych. Ochrona przed naruszeniami zapobiega występowaniu takich ataków po spełnieniu wszystkich następujących warunków:
- Urządzenie jest zarządzane przez Intune; i
- Na urządzeniu włączono opcję Wyłącz lokalne Administracja scalanie.
Aby uzyskać więcej informacji, zobacz Ochrona przed naruszeniami w przypadku wykluczeń antywirusowych.
Osoby atakujące mogą uniemożliwić odnajdywanie istniejących wykluczeń antywirusowych, włączając funkcję HideExclusionsFromLocalAdmin.
Po wykryciu naruszenia jest zgłaszany alert. Niektóre tytuły alertów dotyczące manipulowania są następujące:
- Próba obejścia ochrony klienta Ochrona punktu końcowego w usłudze Microsoft Defender
- Próba zatrzymania czujnika Ochrona punktu końcowego w usłudze Microsoft Defender
- Próba naruszenia Microsoft Defender na wielu urządzeniach
- Próba wyłączenia ochrony antywirusowej Microsoft Defender
- Obejście wykrywania usługi Defender
- Próba naruszenia oparta na sterowniku została zablokowana
- Opcje wykonywania plików obrazów ustawione na potrzeby manipulowania
- Microsoft Defender ochrona antywirusowa jest wyłączona
- manipulowanie programem antywirusowym Microsoft Defender
- Próba modyfikacji na liście wykluczeń programu antywirusowego Microsoft Defender
- Mechanizm oczekujących operacji na plikach jest nadużywany do celów naruszenia
- Możliwe manipulowanie interfejsem amsi (Antimalware Scan Interface)
- Możliwe zdalne manipulowanie
- Możliwe manipulowanie czujnikami w pamięci
- Potencjalna próba naruszenia MDE za pośrednictwem sterowników
- Manipulowanie oprogramowaniem zabezpieczającym
- Podejrzane wykluczenie programu antywirusowego Microsoft Defender
- Obejście ochrony przed naruszeniami
- Działania polegające na manipulowaniu typowe dla ataków wymuszających okup
- Manipulowanie komunikacją czujnika Ochrona punktu końcowego w usłudze Microsoft Defender
- Manipulowanie ustawieniami czujnika Ochrona punktu końcowego w usłudze Microsoft Defender
- Manipulowanie czujnikiem Ochrona punktu końcowego w usłudze Microsoft Defender
Jeśli zostanie wyzwolona reguła ograniczania obszaru podatnego na luki w zabezpieczeniach , zdarzenie będzie widoczne w raporcie USŁUGI ASR i w obszarze Zaawansowane wyszukiwanie zagrożeń
Jeśli Windows Defender kontrola aplikacji (WDAC) jest włączona, działanie bloku i inspekcji można zobaczyć w obszarze Zaawansowane wyszukiwanie zagrożeń.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.