تقليل عدد كبير من احداث الحظر التي يتم تجميعها في مدخل مداتب

ينطبق على: Windows Defender Advanced Threat Protection

الملخص


يجوز لك ان تلاحظ عددا كبيرا جدا من الاحداث المحظورة التي يتم تجميعها في مدخل الحماية المتقدمة من المخاطر ل Microsoft Defender (مداتب). يتم إنشاء هذه الاحداث بواسطة مشغل تكامل التعليمات البرمجية (CI) ويمكن التعرف عليها بواسطة اكسبلويتجواردنونميكروسوفتسيجنيدبلوكيد أكتيونتيبي الخاصة بها.

الحدث كما هو موضح في سجل الاحداث لنقطه النهاية

ActionType Provider/source معرف الحدث الوصف
ExploitGuardNonMicrosoftSignedBlocked الأمان-ميتيجيشنز يقوم كتله حماية تكامل التعليمات البرمجية

 

الحدث كما هو موضح في المخطط الزمني

Process '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) was blocked from loading the non-Microsoft-signed binary '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'

Microsoft-Windows-الأمان-ميتيجيشنز/Kernel

زمني

Microsoft.PowerShell.Commands.Management.ni.dll

مزيد من المعلومات


يتاكد محرك CI من ان الملفات الموثوق بها هي المسموح لها بالتنفيذ علي جهاز. عند تمكين CI ومصادفه ملف غير موثوق به ، فانه ينشئ حدث حظر. في وضع التدقيق ، يستمر السماح بتنفيذ الملف ، في وضع الفرض ، يتم منع تنفيذ الملف.

يمكن تمكين CI بطرق متعددة ، بما في ذلك عند نشر نهج التحكم بالتطبيقات ل Windows Defender (وداك). ومع ذلك ، في هذه الحالة ، يقوم مداتب بتمكين CI علي النهاية الخلفية ، التي تقوم بتشغيل الاحداث عندما تصادف ملفات الصور الاصليه غير الموقعة (ني) التي تنشا من Microsoft.

ان توقيع الملف مخصص لتمكين التحقق من صحة هذه الملفات. بإمكان CI التحقق من عدم تعديل الملف وإنشاءه من مرجع موثوق به استنادا إلى توقيعه. يتم تسجيل معظم الملفات التي تم إنشاؤها من Microsoft ، ولكن لا يمكن تسجيل بعض الملفات أو لم يتم توقيعها لأسباب مختلفه. علي سبيل المثال ، يتم توقيع الثنائيات النية (التي تم تحويلها برمجيا من التعليمات البرمجية ل .NET Framework) بشكل عام إذا تم تضمينها في إصدار. ومع ذلك ، يتم عاده أعاده إنشائها علي جهاز ولا يمكن توقيعها. بشكل منفصل ، قامت العديد من التطبيقات بتسجيل الدخول إلى ملف CAB أو MSI فقط للتحقق من آصالها عند التثبيت. عند تشغيلها ، يقومون بإنشاء ملفات اضافيه غير موقعه.

ترحيل


لا ننصحك بتجاهل هذه الاحداث لأنها تستطيع الاشاره إلى مشاكل الأمان الاصليه. علي سبيل المثال ، قد يحاول أحد المهاجمين الضارين تحميل ثنائي غير مسجل تحت جويس من Microsoft. 

ومع ذلك ، يمكن تصفيه هذه الاحداث بواسطة الاستعلام عند محاولة تحليل الاحداث الأخرى في بحث المتقدمة عن طريق استبعاد الاحداث التي تحتوي علي أكتيونتيبي اكسبلويتجواردنونميكروسوفتسيجنيدبلوكيد .

سيعرض لك هذا الاستعلام كل الاحداث ذات الصلة بهذه الميزات التي تم الكشف عنها بشكل خاص:

ديفيسيفينتس| أين أكتيونتيبي = = "اكسبلويتجواردنونميكروسوفتسيجنيدبلوكيد" و إينيتياتينجبروسيسفيلينامي = = "powershell" و FileName اندسويث "ni"| أين > الطابع الزمني (7d)

إذا أردت استبعاد هذا الحدث ، فعليك عكس الاستعلام. سيؤدي ذلك إلى إظهار كل احداث اكسبلويتجوارد (بالبالكامل من EP) باستثناء ما يلي:

ديفيسيفينتس| أين أكتيونتيبي ستارتسويث "اكسبلويتجوارد"| أين أكتيونتيبي! = "اكسبلويتجواردنونميكروسوفتسيجنيدبلوكيد" أو (أكتيونتيبي = = "اكسبلويتجواردنونميكروسوفتسيجنيدبلوكيد" و InitiatingProcessFileName! = "= =" ActionType = = «.aspx» و = = «.aspx» واسم الملف! ExploitGuardNonMicrosoftSignedBlocked ". InitiatingProcessFileName")| أين > الطابع الزمني (7d)

بالاضافه إلى ذلك ، إذا كنت تستخدم .NET Framework 4.5 أو إصدارا أحدث ، سيتوفر لديك خيار أعاده إنشاء ملفات ني لحل العديد من احداث سوبيرفلووس. للقيام بذلك ، احذف كل ملفات ني في الدليل ناتيفيماجيس ، ثم شغل الأمر تحديث ngen لأعاده إنشاءها.