小结

你可能会注意到在 MDATP 门户的 Microsoft Defender 高级威胁防护 (收集) 事件。 这些事件由 CI (代码完整性) ,并且可以通过 其 ExploitGuardNonMicrosoftSignedBlocked ActionType 进行标识。

终结点事件日志中显示的事件

ActionType

提供程序/源

事件 ID

说明

ExploitGuardNonMicrosoftSignedBlocked

Security-Mitigations

12

代码完整性防护块

时间线中显示的事件

进程"\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) 被阻止加载非 Microsoft 签名的二进制文件"\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll"

Microsoft-Windows-Security-Mitigations/Kernel Mode

时间线

Microsoft.PowerShell.Commands.Management.ni.dll

详细信息

CI 引擎确保只允许受信任的文件在设备上执行。 启用 CI 并遇到不受信任的文件时,会生成块事件。 在"审核"模式下,仍允许执行该文件,而在"强制"模式下,将阻止执行该文件。

可通过多种方式启用 CI,包括何时使用 WDAC Windows Defender策略 (CI) CI。 但是,在这种情况下,MDATP 在后端启用 CI,当遇到来自 Microsoft 的无符号本机映像 (NI) 文件时,会触发事件。

对文件进行签名是为了验证该文件的真实性。 CI 可以验证文件是否未修改,以及是否源自基于其签名的受信任颁发机构。 大多数源自 Microsoft 的文件已签名,但某些文件因各种原因无法签名或不签名。 例如,从 .NET Framework (编译的 NI 二进制文件) 如果包含在版本中,则通常会进行签名。 但是,它们通常在设备上重新生成,并且无法签名。 另外,许多应用程序只对 CAB 或 MSI 文件进行签名,以在安装时验证其真实性。 运行时,会创建未签名的其他文件。

缓解措施

不建议忽略这些事件,因为它们可能指示真正的安全问题。 例如,恶意攻击者可能会尝试以源自 Microsoft 的为名加载无符号二进制文件。 

但是,尝试通过排除 具有 ExploitGuardNonMicrosoftSignedBlocked ActionType 的事件来分析高级搜寻中的其他事件时,可以通过查询筛选出这些事件。

此查询会显示与此特定过度检测相关的所有事件:

DeviceEvents
|Where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName endswith "ni.dll"
|其中 Timestamp > ago (7d)

如果要排除此事件,必须反转查询。 这会显示所有 ExploitGuard (包括 EP) 事件,但以下事件除外:

DeviceEvents
|其中 ActionType 以"ExploitGuard"开头
|其中 ActionType != "ExploitGuardNonMicrosoftSignedBlocked" 或 (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName != "powershell.exe"powershell.exe ) 或 (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName !endswith "ni.dll")
|其中 Timestamp > ago (7d)

此外,如果使用 .NET Framework 4.5 或更高版本,可以选择重新生成 NI 文件来解决许多多余的事件。 为此,请删除 NativeImages 目录中的所有 NI 文件,然后运行ngen update 命令以重新生成这些文件。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对翻译质量的满意程度如何?

哪些因素影响了你的体验?

是否还有其他反馈?(可选)

谢谢您的反馈意见!

×