篡改是用于描述攻击者试图损害Microsoft Defender for Endpoint有效性的一般术语。 攻击者的最终目标是不只是影响一台设备,而是实现其目标,例如发动勒索软件攻击。 因此,Microsoft Defender for Endpoint的防篡改功能超越了防止单个设备的篡改来检测攻击并将其影响降到最低。
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 商业版
组织范围的篡改复原能力建立在零信任
防御篡改的基础是遵循零信任模型。
- 遵循最小特权的最佳做法。 请参阅 Windows 的访问控制概述。
- 配置 条件访问策略 ,使不受信任的用户和设备保持隔离。
为了提供有效的防篡改防护,设备必须正常运行。
- 将设备载入到 Defender for Endpoint。
- 确保已安装 安全智能和防病毒更新 。
- 集中管理设备,例如通过Microsoft Intune、Microsoft Defender for Endpoint安全配置管理或Configuration Manager。
注意
在 Windows 设备上,可以使用 组策略、Windows Management Instrumentation (WMI) 和 PowerShell cmdlet 来管理Microsoft Defender防病毒。 但是,与使用Microsoft Intune、Configuration Manager或Microsoft Defender for Endpoint安全配置管理相比,这些方法更容易受到篡改。 如果使用 组策略,我们建议禁用Microsoft Defender防病毒设置的本地替代,并禁用本地列表合并。
可以在 Microsoft Defender for Endpoint 的设备运行状况报告中查看Microsoft Defender防病毒运行状况和传感器的运行状况。
防止在单个设备上篡改
攻击者使用各种篡改技术在单个设备上禁用Microsoft Defender for Endpoint。 在不同操作系统上以不同的方式阻止这些技术。
| 控制 | 操作系统 | 技术系列 |
|---|---|---|
| 篡改防护 | Windows | - 终止/挂起进程 - 停止/暂停/暂停服务 - 修改注册表设置,包括排除项 - 操作/劫持 DLL - 文件系统的操作/修改 - 代理完整性 |
| 篡改防护 | Mac | - 终止/挂起进程 - 文件系统的操作/修改 - 代理完整性 |
| 攻击面减少规则 | Windows | 内核驱动程序 (请参阅 阻止滥用被攻击的易受攻击的已签名驱动程序) |
| Windows Defender应用程序控制 (WDAC) | Windows | 内核驱动程序 (请参阅 Microsoft 易受攻击的驱动程序阻止列表) |
了解防止 Windows 上基于驱动程序的篡改的不同方法
最常见的篡改技术之一是使用易受攻击的驱动程序来获取对内核的访问权限。 此驱动程序通常包装在易于部署的工具中,但基础技术是相同的。
为了防止基于驱动程序的篡改在单个设备上,需要将设备配置为在攻击之前阻止加载该驱动程序。
Microsoft 提供了多种方法来使设备受到良好保护,并使其保持最新状态,防止基于驱动程序的篡改。
最广泛的保护 - Microsoft 易受攻击的驱动程序阻止列表
阻止列表随 Windows 的每个新主要版本一起更新,通常每年更新 1-2 次。 Microsoft 偶尔会通过常规 Windows 服务发布将来的更新。 借助 Windows 11 2022 更新,易受攻击的驱动程序阻止列表默认为所有设备启用,但需要内存完整性 (也称为虚拟机监控程序保护的代码完整性或 HVCI) 、智能应用控制或 S 模式才能处于活动状态。
对于不符合这些要求的设备,可以使用Windows Defender应用程序控制策略阻止此驱动程序列表。
请参阅 易受攻击的驱动程序阻止列表 XML。
更快的更新 - 阻止被利用的有漏洞和已签名的驱动程序 ASR 规则
此受攻击和易受攻击驱动程序阻止的驱动程序列表的更新频率高于建议的驱动程序阻止列表。 ASR 规则可以先在审核模式下运行,以确保在以块模式应用规则之前没有影响。
阻止其他驱动程序 - Windows Defender应用程序控制 (WDAC)
攻击者可能会尝试使用建议的驱动程序阻止列表或 ASR 规则未阻止的驱动程序。 在这种情况下,客户可以使用 WDAC 创建要阻止的策略来保护自己
WDAC 还提供审核模式来帮助了解在块模式下应用策略的影响,以避免意外影响合法使用。
防止在 Windows 上通过Microsoft Defender防病毒排除项进行篡改
攻击者使用的一种常见技术是对防病毒排除项进行未经授权的更改。 篡改防护可防止在满足以下所有条件时发生此类攻击:
- 设备由 Intune 管理;以及
- 设备已启用“禁用本地管理员合并”。
有关详细信息,请参阅 防病毒排除项的篡改防护。
攻击者可以通过启用 HideExclusionsFromLocalAdmin 来阻止发现现有的防病毒排除项。
在Microsoft Defender门户中检测潜在的篡改活动
检测到篡改时,将引发警报。 篡改的一些警报标题包括:
- 尝试绕过Microsoft Defender for Endpoint客户端保护
- 尝试停止Microsoft Defender for Endpoint传感器
- 尝试在多台设备上篡改Microsoft Defender
- 尝试关闭Microsoft Defender防病毒保护
- Defender 检测旁路
- 基于驱动程序的篡改尝试已阻止
- 设置用于篡改目的的图像文件执行选项
- Microsoft Defender防病毒保护已关闭
- Microsoft Defender防病毒篡改
- Microsoft Defender防病毒排除列表中的修改尝试
- 出于篡改目的滥用的挂起文件操作机制
- 可能的反恶意软件扫描接口 (AMSI) 篡改
- 可能的远程篡改
- 内存中可能的传感器篡改
- 可能试图通过驱动程序篡改MDE
- 安全软件篡改
- 可疑Microsoft Defender防病毒排除
- 篡改防护旁路
- 勒索软件攻击的典型篡改活动
- 篡改Microsoft Defender for Endpoint传感器通信
- 篡改Microsoft Defender for Endpoint传感器设置
- 篡改Microsoft Defender for Endpoint传感器
如果触发了阻止滥用被利用的易受攻击的已签名驱动程序攻击面减少规则,则可在 ASR 报告和高级搜寻中查看该事件
如果启用了Windows Defender应用程序控制 (WDAC) ,则可以在高级搜寻中看到阻止和审核活动。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。