סיכום

ייתכן שתבחין במספר גדול מאוד של איסוף אירועים המתקבלים בפורטל הגנת האיום המתקדם של Microsoft Defender (MDATP). אירועים אלה מופקים על-ידי מנגנון תקינות הקוד (CI) וניתן לזהות אותם על-ידי ExploitGuardNonMicrosoftSignedBlocked ActionType.

אירוע כפי שניתן לראות ביומן האירועים של נקודת הקצה

ActionType

ספק/מקור

מזהה האירוע

תיאור

ExploitGuardNonMicrosoftSignedBlocked

Security-Mitigations

12

חסימת שומרי תקינות של קוד

אירוע כפי שניתן לראות בציר הזמן

התהליך ' \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ' (PID 8780) נחסם מטעינת הקובץ הבינארי שאינו מתוצרת Microsoft החתומה על-ידי Microsoft, ההרכבה \ NativeImages_v4.0.30319_64 \ Microsoft. M870d558a \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll '

Microsoft-Windows-אבטחה-גורמים מקלים/מצבי ליבה

ציר זמן

Microsoft.PowerShell.Commands.Management.ni.dll

מידע נוסף

מנגנון CI מוודא שרק קבצים מהימנים מורשים לפעול במכשיר. כאשר CI מופעל ונתקל בקובץ לא מהימן, הוא יוצר אירוע בלוק. במצב ביקורת, הקובץ עדיין מותר לביצוע, ואילו במצב אכיפה, הקובץ מונע מביצוע.

ניתן להפוך את CI לזמינה בכמה דרכים, כולל בעת פריסת מדיניות בקרת יישומים של Windows Defender (WDAC). עם זאת, במצב זה, MDATP מאפשר ל-CI בקצה האחורי, המפעיל אירועים כאשר הוא נתקל בקבצים מקוריים של תמונות מקוריות (NI) שמקורם מ-Microsoft.

החתימה של קובץ מיועדת לאפשר אימות של מקוריות קבצים זו. CI יכול לוודא שהקובץ אינו משתנה ושמקורו ברשות מהימנה בהתבסס על החתימה שלו. רוב הקבצים שמקורם ב-Microsoft חתומים, אך קבצים מסוימים אינם ניתנים לחתימה או שאינם חתומים מסיבות שונות. לדוגמה, הקבצים הבינאריים של NI (הידור מתוך קוד .NET Framework) נחתמו בדרך כלל אם הם כלולים במהדורה. עם זאת, הם מופקים מחדש בדרך כלל במכשיר ולא ניתן לחתום עליהם. בנפרד, יישומים רבים מכילים רק את קובץ ה-CAB או ה-MSI שלהם כדי לאמת את המקוריות שלהם בהתקנה. כאשר הם פועלים, הם יוצרים קבצים נוספים שאינם חתומים.

קלה

איננו ממליצים להתעלם מאירועים אלה מאחר שהם יכולים לציין בעיות אבטחה אמיתיות. לדוגמה, תוקף זדוני עשוי לנסות לטעון בינארי לא חתום תחת המסווה של שמקורו מ-Microsoft. 

עם זאת, ניתן לסנן אירועים אלה על-ידי שאילתה כאשר אתה מנסה לנתח אירועים אחרים בחיפוש מתקדם על-ידי הכללת אירועים בעלי ExploitGuardNonMicrosoftSignedBlocked ActionType.

שאילתה זו תציג את כל האירועים הקשורים לאיתור מפורט זה באופן מסוים:

DeviceEvents
| כאשר ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" ו-InitiatingProcessFileName = = "powershell.exe" ו-FileName endswith "ni.dll"
| היכן > לפני חותמת זמן (7d)

אם ברצונך לא לכלול אירוע זה, עליך להפוך את השאילתה. פעולה זו תציג את כל האירועים ExploitGuard (כולל של EP) למעט אלה:

DeviceEvents
| היכן ActionType startswith "ExploitGuard"
| כאשר ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" או (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" ו-InitiatingProcessFileName! = "powershell.exe") או (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" ו-InitiatingProcessFileName = = "powershell.exe" ו-FileName! endswith "ni.dll")
| היכן > לפני חותמת זמן (7d)

בנוסף, אם אתה משתמש ב-.NET Framework 4.5 או בגירסה מתקדמת יותר, באפשרותך ליצור משוב קבצי NI כדי לפתור רבים מהאירועים העודפים. לשם כך, מחק את כל קבצי ה-NI במדריך הכתובות של NativeImages ולאחר מכן השתמש בפקודה ngen update כדי ליצור אותם מחדש.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלכם?

תודה על המשוב!

×