Applies ToMicrosoft Defender for Endpoint

Souhrn

Na portálu Microsoft Defender Advanced Threat Protection (MDATP) můžete zaznamenat velmi velký počet událostí blokování. Tyto události generuje modul Code Integrity (CI) a může je identifikovat jejich ExploitGuardNonMicrosoftSignedBlocked ActionType.

Událost, jak je vidět v protokolu událostí koncového bodu

ActionType

Zprostředkovatel/zdroj

ID události

Popis

ExploitGuardNonMicrosoftSignedBlocked

Security-Mitigations

12

Blok ochrana integrity kódu

Událost, jak je vidět na časové ose

Proces \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (PID 8780) se zablokoval ve načítání binárního souboru \Windows\sestavení\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll"

Režim Microsoft-Windows-Security-Mitigations/Kernel

Časová osa

Microsoft.PowerShell.Commands.Management.ni.dll

Další informace

Modul CI zajišťuje, aby na zařízení byly schované jen důvěryhodné soubory. Když je povolená ci a setká se s nedůvěryhodným souborem, vygeneruje událost blokování. V režimu auditování se soubor pořád může spouštět, zatímco v režimu vynucení je soubor znemožňován.

Můžete ji povolit několika způsoby, včetně toho, kdy nasadíte zásady řízení aplikací v programu Windows Defender (WDAC). V této situaci však MDATP povoluje ci na back-endu, což spouští události, když dojde k souborům unsigned Native Image (NI) pocházejícím od Microsoftu.

Podepsání souboru znamená, že umožňuje ověření pravosti těchto souborů. Ci can verify that a file is unmodified and originates from a trusted authority based on its signature. Většina souborů, které pocházejí od Microsoftu, je podepsaná, některé soubory ale z různých důvodů ne. Například binární soubory NI (zkompilované z kódu .NET Framework) jsou obecně podepsané, pokud jsou součástí vydání. Obvykle se ale na zařízení znovu vygenerují a není možné je podepsat. Většina aplikací má samostatně podepsaný soubor CAB nebo MSI, aby ověřila jejich pravost při instalaci. Při spuštění vytvoří další soubory, které nejsou podepsané.

Omezení rizik

Nedoporučujeme tyto události ignorovat, protože indicate genuine security issues. Například by se mohl pokus o nahážení nepodepsaně binárního souboru pod kyčátky pocházející z Microsoftu. 

Tyto události je ale možné filtrovat podle dotazu, když se pokusíte analyzovat jiné události v rozšířeném hledání tak, že vyloučíte události, které mají typ ActionType ExploitGuardNonMicrosoftSignedBlocked.

Tento dotaz by vám ukáže všechny události související s tímto konkrétním zjišťováním.

DeviceEvents | where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName endswith "ni.dll" | where Timestamp > ago(7d)

Pokud chcete tuto událost vyloučit, budete muset dotaz invertovat. Zobrazí se všechny události ExploitGuard (včetně EP), kromě těchto:

DeviceEvents | where ActionType startswith "ExploitGuard" | where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" nebo (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" a InitiatingProcessFileName != "powershell.exe") nebo (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" a InitiatingProcessFileName == "powershell.exe" a FileName !endswith "ni.dll") | where Timestamp > ago(7d)

Pokud použijete rozhraní .NET Framework 4.5 nebo novější verzi, budete mít také možnost znovu zgenerovat soubory NI k vyřešení mnoha nadbytečných událostí. To můžete udělat tak, že odstraníte všechny soubory NI v adresáři NativeImages a spuštěním příkazu ngen update je znovu vygenerujete.

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.