Applies ToMicrosoft Defender for Endpoint

摘要

您可能會發現在 Microsoft Defender 高級威脅防護 (MDATP) 入口網站中收集大量的封鎖事件。 這些事件是由程式碼完整性 (CI) 引擎所產生,可透過其 ExploitGuardNonMicrosoftSignedBlocked ActionType 加以識別。

顯示在端點事件記錄中的事件

ActionType

提供者/來源

事件識別碼

描述

ExploitGuardNonMicrosoftSignedBlocked

Security-Mitigations

12

程式碼完整性防護區塊

在時程表中看到的事件

程式 "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) 已封鎖載入非 Microsoft 簽章的二進位 "\ NativeImages_v4. 30319_64 \ M870d558a # \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll"

Microsoft-Windows-安全性-緩解/核心模式

時間軸

Microsoft.PowerShell.Commands.Management.ni.dll

詳細資訊

CI 引擎會確認只允許在裝置上執行受信任的檔案。 啟用 CI 並遇到不受信任的檔案時,會產生區塊事件。 在 [審核] 模式中,仍允許執行該檔案,而在 [強制模式] 中則會禁止執行該檔案。

CI 可透過幾種方式啟用,包括當您部署 Windows Defender 應用程式控制項 (WDAC) 原則時。 不過,在這種情況下,MDATP 會在後端啟用 CI,當您遇到來自 Microsoft 的未簽署原生映射 (NI) 檔案時,就會觸發事件。

檔案的簽章是要啟用該檔案的真品驗證。 CI 可以確認檔案未被修改,且來源於其簽名的信任機構。 來源於 Microsoft 的大部分檔案都會經過簽署,但部分檔案不能根據各種原因加以簽署。 例如,如果從 .NET Framework 程式碼編譯的 NI 二進位檔案 (通常是在發行中包含,就會將它們簽) 。 不過,它們通常是在裝置上重新產生,且無法進行簽署。 另外,許多應用程式只會在安裝時,簽署自己的 CAB 或 MSI 檔案以驗證其真偽。 當它們執行時,他們會建立其他未簽署的檔案。

減少

我們不建議您略過這些事件,因為它們可能表示真正的安全性問題。 例如,惡意攻擊者可能會嘗試在源自 Microsoft 的 guise 下載入無符號二進位檔案。 

不過,當您嘗試在高級搜尋中排除具有 ExploitGuardNonMicrosoftSignedBlocked ActionType 的事件時,可以透過 query 來篩選這些事件。

此查詢會顯示與此特定過檢測有關的所有事件:

DeviceEvents |其中,ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" 和 InitiatingProcessFileName = = "powershell.exe" 且 FileName endswith "ni.dll" |在時間戳記 > 之前 (7d)

如果您想要排除此活動,您必須將查詢反相。 這會顯示所有 ExploitGuard (包含的 EP) 事件,除了這些以外:

DeviceEvents |where ActionType startswith "ExploitGuard" |其中,ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" 或 (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" 和 InitiatingProcessFileName! = "powershell.exe" ) 或 (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked",InitiatingProcessFileName = = "powershell.exe" and FileName! endswith "ni.dll" ) |在時間戳記 > 之前 (7d)

此外,如果您使用的是 .NET Framework 4.5 或更新版本,您可以選擇重新產生 NI 檔案,以解決許多多餘的事件。 若要這樣做,請刪除 NativeImages 目錄中的所有 NI 檔案,然後執行ngen 更新 命令來重新產生這些檔案。

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。