Rangkuman

Anda mungkin melihat jumlah sangat besar dari kejadian pemblokiran yang dikumpulkan di portal Microsoft Defender Advanced Threat Protection (MDATP). Kejadian ini dihasilkan oleh mesin integritas kode (CI) dan dapat diidentifikasi dengan tipe Exploitguardnonmicrosoftsignedblocked actiontype.

Acara seperti yang terlihat dalam log kejadian akhir

Tipe ActionType

Penyedia/sumber

ID Kejadian

Deskripsi

ExploitGuardNonMicrosoftSignedBlocked

Security-Mitigations

12

Blok pelindung integritas kode

Acara seperti yang terlihat di garis waktu

Proses ' \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ' (PID 8780) diblokir dari memuat yang tidak-Microsoft-ditandatangani biner ' \ Windows \ rakitan \ NativeImages_v4.0.30319_64 \ Microsoft. M870d558a # \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll '

Microsoft-Windows-keamanan-Mitigations/kernel mode

Linimasa

Microsoft.PowerShell.Commands.Management.ni.dll

Informasi selengkapnya

Mesin CI memastikan bahwa hanya file tepercaya yang diizinkan untuk dijalankan di perangkat. Saat CI diaktifkan dan mengalami file yang tidak tepercaya, ia akan menghasilkan kejadian Blokir. Dalam mode audit, file masih diperbolehkan untuk dijalankan, sedangkan dalam mode Terapkan, file dicegah dijalankan.

CI dapat diaktifkan dalam beberapa cara, termasuk kebijakan Windows Defender Application Control (WDAC). Namun, dalam situasi ini, MDATP mengaktifkan CI di back-end, yang memicu kejadian ketika file tersebut bertemu dengan file asli tanpa tanda tangan (NI) yang berasal dari Microsoft.

Penandatanganan file dimaksudkan untuk memungkinkan verifikasi keaslian file tersebut. CI dapat memverifikasi bahwa file tidak dimodifikasi dan berasal dari otoritas tepercaya berdasarkan tanda tangan. Sebagian besar file yang berasal dari Microsoft ditandatangani, namun beberapa file tidak dapat atau tidak ditandatangani karena berbagai alasan. Misalnya, NI binari (dikompilasi dari .NET Framework Code) umumnya ditandatangani jika disertakan dalam rilis. Namun, mereka biasanya dibuat ulang di perangkat dan tidak dapat ditandatangani. Secara terpisah, banyak aplikasi hanya memiliki file CAB atau MSI yang ditandatangani untuk memverifikasi keasliannya pada penginstalan. Saat dijalankan, mereka membuat file tambahan yang tidak ditandatangani.

Mitigasi

Kami tidak menyarankan agar Anda mengabaikan kejadian ini karena mereka bisa menunjukkan masalah keamanan asli. Misalnya, penyerang yang jahat mungkin mencoba memuat biner tanpa tanda tangani dengan kedok berasal dari Microsoft. 

Namun, kejadian ini bisa difilter keluar menurut kueri ketika Anda mencoba menganalisis kejadian lainnya dalam perburuan tingkat lanjut dengan mengecualikan kejadian yang memiliki tipe yang Exploitguardnonmicrosoftsignedblocked .

Kueri ini akan memperlihatkan kepada Anda semua kejadian yang terkait dengan over Detection ini:

DeviceEvents
| di mana ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" dan InitiatingProcessFileName = = "powershell.exe" dan akhiran FileName dengan "ni.dll"
| di mana timestamp > lalu (7d)

Jika Anda ingin mengecualikan acara ini, maka Anda harus membalikkan kueri. Ini akan memperlihatkan semua kejadian ExploitGuard (termasuk EP) kecuali ini:

DeviceEvents
| di mana tipe startandengan "ExploitGuard"
| di mana ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" or (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" dan InitiatingProcessFileName! = "powershell.exe") atau (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" dan InitiatingProcessFileName = = "powershell.exe" dan nama file! akhiran "ni.dll")
| di mana timestamp > lalu (7d)

Selain itu, jika Anda menggunakan .NET Framework 4,5 atau versi yang lebih baru, Anda memiliki opsi untuk meregenerasi file NI untuk mengatasi banyak kejadian yang berlebihan. Untuk melakukan hal ini, Hapus semua file NI dalam direktori Nativeimages lalu jalankan perintah Ngen update untuk membuatnya kembali.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×