緩解在 MDATP 入口網站中收集的大量區塊事件

摘要

您可能會發現在 Microsoft Defender 高級威脅防護 (MDATP) 入口網站中收集大量的封鎖事件。 這些事件是由程式碼完整性 (CI) 引擎所產生,可透過其 ExploitGuardNonMicrosoftSignedBlocked ActionType 加以識別。

顯示在端點事件記錄中的事件

ActionType

提供者/來源

事件識別碼

描述

ExploitGuardNonMicrosoftSignedBlocked

Security-Mitigations

12

程式碼完整性防護區塊

在時程表中看到的事件

程式 "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) 已封鎖載入非 Microsoft 簽章的二進位 "\ NativeImages_v4. 30319_64 \ M870d558a # \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll"

Microsoft-Windows-安全性-緩解/核心模式

時間軸

Microsoft.PowerShell.Commands.Management.ni.dll

詳細資訊

CI 引擎會確認只允許在裝置上執行受信任的檔案。 啟用 CI 並遇到不受信任的檔案時,會產生區塊事件。 在 [審核] 模式中,仍允許執行該檔案,而在 [強制模式] 中則會禁止執行該檔案。

CI 可透過幾種方式啟用,包括當您部署 Windows Defender 應用程式控制項 (WDAC) 原則時。 不過,在這種情況下,MDATP 會在後端啟用 CI,當您遇到來自 Microsoft 的未簽署原生映射 (NI) 檔案時,就會觸發事件。

檔案的簽章是要啟用該檔案的真品驗證。 CI 可以確認檔案未被修改,且來源於其簽名的信任機構。 來源於 Microsoft 的大部分檔案都會經過簽署,但部分檔案不能根據各種原因加以簽署。 例如,如果從 .NET Framework 程式碼編譯的 NI 二進位檔案 (通常是在發行中包含,就會將它們簽) 。 不過,它們通常是在裝置上重新產生,且無法進行簽署。 另外,許多應用程式只會在安裝時,簽署自己的 CAB 或 MSI 檔案以驗證其真偽。 當它們執行時,他們會建立其他未簽署的檔案。

減少

我們不建議您略過這些事件,因為它們可能表示真正的安全性問題。 例如,惡意攻擊者可能會嘗試在源自 Microsoft 的 guise 下載入無符號二進位檔案。 

不過,當您嘗試在高級搜尋中排除具有 ExploitGuardNonMicrosoftSignedBlocked ActionType 的事件時,可以透過 query 來篩選這些事件。

此查詢會顯示與此特定過檢測有關的所有事件:

DeviceEvents
|其中,ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" 和 InitiatingProcessFileName = = "powershell.exe" 且 FileName endswith "ni.dll"
|在時間戳記 > 之前 (7d)

如果您想要排除此活動,您必須將查詢反相。 這會顯示所有 ExploitGuard (包含的 EP) 事件,除了這些以外:

DeviceEvents
|where ActionType startswith "ExploitGuard"
|其中,ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" 或 (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" 和 InitiatingProcessFileName! = "powershell.exe" ) 或 (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked",InitiatingProcessFileName = = "powershell.exe" and FileName! endswith "ni.dll" )
|在時間戳記 > 之前 (7d)

此外,如果您使用的是 .NET Framework 4.5 或更新版本,您可以選擇重新產生 NI 檔案,以解決許多多餘的事件。 若要這樣做,請刪除 NativeImages 目錄中的所有 NI 檔案,然後執行ngen 更新 命令來重新產生這些檔案。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×