Podsumowanie
W portalu zaawansowanej ochrony przed zagrożeniami (MDATP) Microsoft Defender można zauważyć bardzo dużą liczbę zdarzeń blokowania. Te zdarzenia są generowane przez aparat integralności kodu (CI) i mogą być identyfikowane przez ich ExploitGuardNonMicrosoftSignedBlocked ActionType.
Zdarzenie widoczne w dzienniku zdarzeń punktu końcowego
|
Typ akcji |
Dostawca/źródło |
Identyfikator zdarzenia |
Opis |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Blok ochrony integralności kodu |
Zdarzenie widoczne na osi czasu
Proces "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) nie może załadować niepodpisanego przez firmę Microsoft binarnego "\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll"
Więcej informacji
Aparat CI zapewnia, że na urządzeniu mogą być wykonywane tylko zaufane pliki. Gdy funkcja WNP jest włączona i występuje niezaufany plik, generuje zdarzenie bloku. W trybie inspekcji plik nadal może zostać wykonany, natomiast w trybie wymuszania nie można wykonać pliku.
Funkcję CI można włączyć na kilka sposobów, w tym podczas wdrażania zasad kontroli aplikacji usługi Windows Defender (WDAC). Jednak w takiej sytuacji protokół MDATP włącza funkcję CI na zapleczu, co powoduje wyzwolenie zdarzeń w przypadku napotkania niepodpisanych plików obrazu natywnego (NI) pochodzących od firmy Microsoft.
Podpisanie pliku ma na celu umożliwienie weryfikacji autentyczności tych plików. Funkcja CI może sprawdzić, czy plik jest niemodyfikowany i pochodzi od zaufanego urzędu na podstawie podpisu. Większość plików pochodzących od firmy Microsoft jest podpisanych, jednak niektóre pliki nie mogą być podpisane lub nie są podpisane z różnych powodów. Na przykład pliki binarne ni (skompilowane z kodu .NET Framework) są zazwyczaj podpisane, jeśli są zawarte w wersji. Jednak zazwyczaj są one generowane ponownie na urządzeniu i nie można ich podpisać. Osobno wiele aplikacji podpisuje tylko swój plik CAB lub MSI, aby zweryfikować ich autentyczność podczas instalacji. Po ich uruchomieniu tworzą dodatkowe pliki, które nie są podpisane.
Łagodzenia
Nie zalecamy ignorowania tych zdarzeń, ponieważ mogą one wskazywać problemy z oryginalnymi zabezpieczeniami. Na przykład złośliwy napastnik może próbować załadować niepodpisany plik binarny pod pozorem pochodzących od firmy Microsoft.
Jednak te zdarzenia mogą być filtrowane według zapytania podczas próby przeanalizowania innych zdarzeń w zaawansowanym polowaniu, wykluczając zdarzenia, które mają typ akcji ExploitGuardNonMicrosoftSignedBlocked ActionType.
To zapytanie umożliwia wyświetlenie wszystkich zdarzeń związanych z tym konkretnym wykrywaniem nadmiernie:
DeviceEvents | gdzie ActionType == "ExploitGuardNonMicrosoftSignedBlocked" i InitiatingProcessFileName == "powershell.exe" i FileName kończy się ciągami "ni.dll" | gdzie sygnatura czasowa > temu(7d)
Jeśli chcesz wykluczyć to zdarzenie, musisz odwrócić zapytanie. Spowoduje to wyświetlenie wszystkich zdarzeń ExploitGuard (włącznie z EP), z wyjątkiem następujących:
DeviceEvents | gdzie Zaczyna się ActionType z "ExploitGuard" | gdzie ActionType != "ExploitGuardNonMicrosoftSignedBlocked" lub (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" i InitiatingProcessFileName != "powershell.exe") lub (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" i InitiatingProcessFileName == "powershell.exe" i FileName !endswith "ni.dll") | gdzie sygnatura czasowa > temu(7d)
Ponadto, jeśli używasz wersji .NET Framework 4.5 lub nowszej, możesz ponownie wygenerować pliki ni w celu rozwiązania wielu zbędnych zdarzeń. W tym celu usuń wszystkie pliki ni w katalogu NativeImages , a następnie uruchom polecenie aktualizacji ngen w celu ich ponownego wygenerowania.
