אלי שלמה

עוד יום של סייבר בענן

הגנה מבוססת Tamper Protection ואכיפה באמצעות MEM + MDATP

by · 17/04/2020

באבטחת מידע, מיסקונפיגורציה או שינוי של הגדרות קיימות ע"י המשתמש או ע"י שחקן תקיפה היא אחד הדברים הגרועים שיכולים להיות ומובילים לבעיות אבטחה מגוונות, על אחת כמה וכמה כאשר מדובר בתחנות עבודה מרוחקות, שם קשה מאוד לעקוב אחר משתמשים בעלי הרשאות או שחקנים שונים אשר משנים הגדרות קיימות במכוון או ללא ידיעה.

למשל, בעיה שחוזרת על עצמה פעמים רבות והיא הודגמה של Group Policy, ואם נקח Group Policy שהוגדר לתחנות קצה על סמך מדיניות אבטחה, אבל משתמש בעל הרשאות יכול לשנות את אחת ההגדרות ולמעשה לעקוף את האבטחה שהוגדרה קודם לכן.

במידה ומדובר במשתמש מרחוק הפוליסי המקומי לא יתסנכרן מול הפוליסי המוגדר של Group Policy ולכן התחנה נמצאת בסיכון מסוים.

לצד הדוגמה הנ"ל אפשר לקחת גם דוגמאות אחרות מתוך תחנה שהותקפה, והתוקף מבצע שינויים ואף מדסבל יכולות אבטחה ברמת התחנה בכדי לבצע פעולות נוספות ללא אפשרויות מנע וזיהוי במערכת.

איך למנוע מיסקונפיגורציה ושינויים ע"י משתמש קצה? אפשר לצמצם באופן משמעותי ואחת הדרכים היא ע"י הורדת אדמין מקומי מתוך התחנה, אך רבו הארגונים לא במצב הזה.

מיותר לציין את כמות החולשות ובעיות האבטחה הנוצרות עקב מיסקונפיגורציה ושינויים הנעשים ע"י חשבונות בעלי הרשאות – בומיוחד בתקופה כזאת שבה תחנות הקצה אינן מנוהלות בצורה סדירה ברוב הארגונים.

הגנה מבוססת Tamper Protection

במערכות הפעלה Windows 10 ישנו מנגנון הגנה אשר נקרא Tamper Protection ומטרתו היא למנוע שינויים ברמת Microsoft Defender AV.

מניעת השינויים ע"י אפשרות Tamper Protection מונעת מאפליקציות זדוניות, תוקפים שונים או משתמשים בעלי הרשאות לבצע שינויים בהגדרות של Microsoft Defender AV, ובין היתר ניתן למנות את ההגדרות הבאות:

  • מניעת שינויים בהגדרות threat protection
  • מניעת שינויים בהגדרות real-time protection
  • מניעת ביטול אפשרות של behavior monitoring
  • מניעת דיסבול של MDAV
  • מניעת דיסבול של cloud-delivered
  • אי היכולת לאפשר הסרת עדכונים וחתימות

השינויים והמניעה – במידה והאפשרות של Tamper Protection מופעלת בתחנת הקצה ברמת התחנה בלבד משתמש בעל הרשאות מקומיות יכול לבצע שינויים, אך אפליקציה זדונית אינה יכולה לבצע שינויים בהגדרות של Microsoft Defender AV.

לצד זה במידה וישנו פוליסי מתוך Intune אין אפשרות לשנות הגדרות ברמת התחנה גם אם ישנו חשבון מקומי בעל הרשאות כולל אדמין מקומי על התחנה.

screenshot_80

דגשים וטיפים

רגע לפני שמפעילים Tamper Protection מומלץ לוודא מספר הגדרות סף לא הגדרות אקסטרים אך עדיין מומלץ לשים לב לדגשים הבאים:

  • הגנה באמצעות Tamper Protection מונעת שינויים בהגדרות Microsoft Defender AV ברמת Regedit, וגם במצבים בהם ישנו שילוב של אנטי-וירוס צד שלישי.
  • במידה והאפשרות של Tamper Protection מופעלת מתוך Group POlicy אין אפשרות לשנות ספציפית את ההגדרה בצורה ידנית.
  • האפשרות של Tamper Protection היא רק לטובת Microsoft Defender AV ולא חלה על אנטי-וירוס צד שלישי.
  • במידה והאפשרות של Tamper Protection אינה מופעלת הסימון אבטחה של Microsoft Defender AV ימורקר עם אזהרה בממשק MDAV.
  • בכדי להימנע מאפשרויות של של קונפליקטים מול אנטי-וירוס צד שלישי יש לוודא שהעדכון של update security intelligence הוא מינימום בגרסת 1.287.60.0.
  • כאשר Tamper Protection מופעל אין אפשרות לעצור, לבטל או לעשות שינויים כלשהן ברמת Service של MDAV.
  • במידה ועובדים עם אנטי-וירוס צד שלישי אין מניעה לעבוד עם MDAV ולהגדיר Tamper Protection
  • בגרסאות הספציפיות של 1709, 1803, או 1809 אין אפשרות לבצע הגדרת מתוך ממשק Microsoft Security בתוך Windows 10

דגשים במצב של ניהול מתוך Intune

במידה ומנהלים תחנות קצה ואבטחת מידע באמצעות Intune יש לשים לב לדגשים הבאים:

  • רישוי תחנות חייב להיות Windows 10 E5 (חלק מתוך MDATP E5 או M365 E5)
  • כל תחנה חייבת להיות מנוהל באופן ישיר מול Intune
  • גרסת Windows 10 חייבת להיות בילד 1709 ומעלה
  • הגדרת עדכון Security intelligence בגרסת 1.287.60.0 ומעלה
  • גרסת Anti-Malware חייבת להיות בגרסת 4.18.1906.3 ומעלה

איך מגדירים Tamper Protection

הגדרת Tamper Protection היא פשוטה מאוד אך צריכה להיעשות מתוך ממשקי הניהול של תחנות הקצה ואינה יכולה להיעשות ברמת תחנת הקצה בשום דרך שהיא.

טיפ: ישנם דרכים עקיפות להגדרת Tamper Protection ברמת תחנה אך הם מתאפסות במידה וישנו פוליסי עם הגדרת Disable או אינו מוגדרscreenshot_75

בכדי לבדוק את הסטטוס של Tamper Protection אפשר לפתוח PowerShell ולהריץ את הפקודה הבאה: Get-MpComputerStatus | Select-Object IsTamperProtected

screenshot_73

הגדרת באמצעות Intune נעשית מתוך האפשרוויות של Configuration Profile ולאחר מכן בפרופיל Endpoint protection נבחר באפשרות Microsoft Defender Security Center ומשם נפעיל את הגדרת Tamper Protection.

screenshot_72

בסיום נוודא שהתחנות מקבלות את השינוי

screenshot_83

הגדרה ברמת ממשק Microsoft Security בתוך Widnows 10 נעשית מתוך האפשרויות ניהול של Virus & threat protection settings. ניתן לבצע הגדרות מתוך PoweShell במקביל.

screenshot_80

ניטור ומעקב אחר ניסויונות ושינויים של Tamper Protection יכולות להיעשות מתוך ממשקי האבטחה של Microsoft Defender ATP או מתוך Azure Sentinel.

בממשק Azure Sentinel ניתן להריץ שאילתת Kusto פשוטה מול Event ID מספרו הוא 45

screenshot_82

בממשק Microsoft Defender ATP ניתן להריץ גם שאילתה מסוג Kusto לאירוע שמספרו הוא 45 או שאילתה אחרת לפי Alert Event.

screenshot_81

טיפ: דרך נוספת לעקוב אחר Tamper Protection היא מתוך ממשק Microsoft Defender ATP ומתוך Security Recommndations שם ניתן לראות את ההמלצה, תחנות מושפעות ואף לפתוח משימה ברמת Microsoft Defender ATP או ברמת Microsoft Endpoint Manager.

screenshot_78

screenshot_84

Tags:

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *