Ochrona organizacji przed skutkami naruszenia

Manipulowanie jest ogólnym terminem używanym do opisywania osób atakujących próbujących osłabić skuteczność Ochrona punktu końcowego w usłudze Microsoft Defender. Ostatecznym celem atakujących nie jest wpływ tylko na jedno urządzenie, ale raczej osiągnięcie celu, takiego jak uruchomienie ataku wymuszającego okup. W związku z tym możliwości ochrony przed naruszeniami Ochrona punktu końcowego w usłudze Microsoft Defender wykraczają poza zapobieganie manipulowaniu pojedynczym urządzeniem w celu wykrywania ataków i minimalizowania ich wpływu.

Dotyczy:

Odporność na naruszenia w całej organizacji opiera się na Zero Trust

Podstawą do obrony przed manipulacjami jest podążanie za modelem Zero Trust.

Aby zapewnić skuteczną ochronę przed naruszeniami, urządzenia muszą być w dobrej kondycji.

Uwaga

Na urządzeniach z systemem Windows program antywirusowy Microsoft Defender można zarządzać przy użyciu poleceń cmdlet zasady grupy, Instrumentacji zarządzania windows (WMI) i programu PowerShell. Jednak metody te są bardziej podatne na manipulacje niż przy użyciu Microsoft Intune, Configuration Manager lub Ochrona punktu końcowego w usłudze Microsoft Defender Security Configuration Management. Jeśli używasz zasady grupy, zalecamy wyłączenie lokalnych przesłonięcia dla ustawień programu antywirusowego Microsoft Defender i wyłączenie scalania listy lokalnej.

Stan kondycji programu Microsoft Defender Antywirusowe i czujniki można wyświetlić w raportach dotyczących kondycji urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender.

Zapobieganie naruszeniom na jednym urządzeniu

Osoby atakujące używają różnych technik manipulowania, aby wyłączyć Ochrona punktu końcowego w usłudze Microsoft Defender na jednym urządzeniu. Techniki te nie są inaczej stosowane w różnych systemach operacyjnych.

Kontroli OS Rodziny technik
Ochrona przed naruszeniami System Windows — Przerywanie/zawieszanie procesów
— Zatrzymywanie/wstrzymywanie/zawieszanie usług
- Modyfikowanie ustawień rejestru, w tym wykluczeń
— Manipulowanie/przejmowanie bibliotek DLL
— Manipulowanie/modyfikowanie systemu plików
- Integralność agenta
Ochrona przed naruszeniami Mac — Przerywanie/zawieszanie procesów
— Manipulowanie/modyfikowanie systemu plików
- Integralność agenta
Reguły zmniejszania obszaru podatnego na ataki System Windows Sterowniki jądra (zobacz Blokowanie nadużywania wykorzystywanych sterowników z podpisem narażonych na luki w zabezpieczeniach)
Windows Defender Application Control (WDAC) System Windows Sterowniki jądra (zobacz lista zablokowanych sterowników narażonych na zagrożenia firmy Microsoft)

Omówienie różnych sposobów zapobiegania manipulacjom opartym na sterownikach w systemie Windows

Jedną z najczęstszych technik manipulowania jest użycie czynnika podatnego na zagrożenia w celu uzyskania dostępu do jądra. Ten sterownik jest często opakowany w łatwe do wdrożenia narzędzie, ale podstawowa technika jest taka sama.

Aby zapobiec naruszeniu sterownika na jednym urządzeniu, należy skonfigurować urządzenie tak, aby blokowało ładowanie tego sterownika przed atakiem.

Firma Microsoft oferuje kilka sposobów zapewnienia dobrej ochrony urządzeń i aktualności przed manipulacjami opartymi na sterownikach.

Najszersza ochrona — lista zablokowanych sterowników narażonych na zagrożenia firmy Microsoft

Lista zablokowanych jest aktualizowana przy użyciu każdej nowej wersji głównej systemu Windows, zazwyczaj 1–2 razy w roku. Firma Microsoft będzie od czasu do czasu publikować przyszłe aktualizacje za pośrednictwem regularnej obsługi systemu Windows. W przypadku aktualizacji Windows 11 2022 r. lista zablokowanych sterowników narażonych na zagrożenia jest domyślnie włączona dla wszystkich urządzeń, ale wymaga, aby integralność pamięci (znana również jako integralność kodu chronionego przez funkcję hypervisor lub HVCI), inteligentna kontrola aplikacji lub tryb S były aktywne.

Zobacz lista zablokowanych sterowników firmy Microsoft, która jest podatna na zagrożenia.

W przypadku urządzeń, które nie spełniają tych wymagań, ta lista sterowników może zostać zablokowana przy użyciu Windows Defender zasad kontroli aplikacji.

Zobacz plik XML listy zablokowanych sterowników podatnych na zagrożenia.

Szybsze aktualizacje — blokowanie narażonych na luki w zabezpieczeniach i podpisanych sterowników reguły ASR

Ta lista sterowników zablokowanych przez kierowców narażonych na luki w zabezpieczeniach jest aktualizowana częściej niż zalecana lista zablokowanych sterowników. Reguły usługi ASR można najpierw uruchomić w trybie inspekcji, aby upewnić się, że nie ma wpływu przed zastosowaniem reguły w trybie bloku.

Zobacz Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników.

Blokuj inne sterowniki — Windows Defender application control (WDAC)

Osoby atakujące mogą próbować używać sterowników, które nie są blokowane przez zalecaną listę zablokowanych sterowników lub regułę usługi ASR. W takim przypadku klienci mogą się chronić za pomocą usługi WDAC, aby utworzyć zasady do blokowania

WDAC udostępnia również tryb inspekcji, aby ułatwić zrozumienie wpływu stosowania zasad w trybie bloku, aby uniknąć przypadkowego wpływu na prawidłowe użycie.

Zapobieganie manipulowaniu za pośrednictwem wykluczeń programu antywirusowego Microsoft Defender w systemie Windows

Typową techniką stosowaną przez osoby atakujące jest wprowadzanie nieautoryzowanych zmian w wykluczeniach antywirusowych. Ochrona przed naruszeniami zapobiega występowaniu takich ataków po spełnieniu wszystkich następujących warunków:

Aby uzyskać więcej informacji, zobacz Ochrona przed naruszeniami w przypadku wykluczeń antywirusowych.

Osoby atakujące mogą uniemożliwić odnajdywanie istniejących wykluczeń antywirusowych, włączając funkcję HideExclusionsFromLocalAdmin.

Wykrywanie potencjalnych działań powodujących naruszenie w portalu Microsoft Defender

Po wykryciu naruszenia jest zgłaszany alert. Niektóre tytuły alertów dotyczące manipulowania są następujące:

  • Próba obejścia ochrony klienta Ochrona punktu końcowego w usłudze Microsoft Defender
  • Próba zatrzymania czujnika Ochrona punktu końcowego w usłudze Microsoft Defender
  • Próba naruszenia Microsoft Defender na wielu urządzeniach
  • Próba wyłączenia ochrony antywirusowej Microsoft Defender
  • Obejście wykrywania usługi Defender
  • Próba naruszenia oparta na sterowniku została zablokowana
  • Opcje wykonywania plików obrazów ustawione na potrzeby manipulowania
  • Microsoft Defender ochrona antywirusowa jest wyłączona
  • manipulowanie programem antywirusowym Microsoft Defender
  • Próba modyfikacji na liście wykluczeń programu antywirusowego Microsoft Defender
  • Mechanizm oczekujących operacji na plikach jest nadużywany do celów naruszenia
  • Możliwe manipulowanie interfejsem amsi (Antimalware Scan Interface)
  • Możliwe zdalne manipulowanie
  • Możliwe manipulowanie czujnikami w pamięci
  • Potencjalna próba naruszenia MDE za pośrednictwem sterowników
  • Manipulowanie oprogramowaniem zabezpieczającym
  • Podejrzane wykluczenie programu antywirusowego Microsoft Defender
  • Obejście ochrony przed naruszeniami
  • Działania polegające na manipulowaniu typowe dla ataków wymuszających okup
  • Manipulowanie komunikacją czujnika Ochrona punktu końcowego w usłudze Microsoft Defender
  • Manipulowanie ustawieniami czujnika Ochrona punktu końcowego w usłudze Microsoft Defender
  • Manipulowanie czujnikiem Ochrona punktu końcowego w usłudze Microsoft Defender

Jeśli zostanie wyzwolona reguła ograniczania obszaru podatnego na luki w zabezpieczeniach , zdarzenie będzie widoczne w raporcie USŁUGI ASR i w obszarze Zaawansowane wyszukiwanie zagrożeń

Jeśli Windows Defender kontrola aplikacji (WDAC) jest włączona, działanie bloku i inspekcji można zobaczyć w obszarze Zaawansowane wyszukiwanie zagrożeń.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.