Opisywaliśmy w części trzeciej naszej serii mechanizm Ochrony przed naruszeniami, uniemożliwiający zautomatyzowaną zmianę niektórych krytycznych ustawień Defendera. Chroniąc przed działaniem wirusów, które zamiast ukrywania się przed Defenderem, mogły po prostu poprosić system o jego wyłączenie, opracowane przez Microsoft rozwiązanie w praktyce uniemożliwiło centralne, “administracyjne” zarządzanie systemowym antywirusem. Bowiem każde ustawienie, które nie jest domyślne lub wyklikane ręcznie przez użytkownika, uznano za “potencjalne działanie złośliwego oprogramowania”.
Tak radykalne podejście, choć niewątpliwie rozwiązuje problem wirusów, utrudnia szybką konfigurację Defendera. Z tego samego powodu, dla którego nie działają wirusy, nie działają też skrypty do automatycznej konfiguracji. Czy Ochrona przed naruszeniami (Tamper Protection) całkowicie uniemożliwia wdrażanie ustawień? Czy może istnieją opcje, które w dalszym ciągu można ustawić?
Ignorowane ustawienia
Tamper Protection chroni przed próbami zautomatyzowanego obniżenia czułości silnika poniżej poziomu domyślnego. Oznacza to, że niemożliwe jest wprowadzenie następujących zmian:
- Włączenie/wyłączenie silnika AS (AntiSpyware) dla ochrony w czasie rzeczywistym
- Włączenie/wyłączenie silnika AM (AntiMalware) dla ochrony w czasie rzeczywistym
- Włączenie/wyłączenie analizatora behawioralnego
- Włączenie/wyłączenie automatycznych skanów pobieranych plików i poczty (IOAV)
- Zdefiniowanie typu podejmowanej akcji w przypadku wykrycia zagrożenia (ThreatSeverityDefaultAction)
Niemożliwe jest nie tylko wyłączenie, ale także włączenie ich. Innymi słowy, ochrony nie da się zatrzymać, ale nie da się też wymusić jej działania (w znaczeniu: pozbawić użytkownika możliwości wyłączenia jej). Każda próba zautomatyzowanego wprowadzenia zmian do powyższych ustawień skończy się niepowodzeniem i zapisaniem w Dzienniku Zdarzeń (nieudokumentowanego!) śladu o identyfikatorze 5013.
Zdarzenie to zawiera opis “Ochrona przed naruszeniami Zignorowano zmianę na Program antywirusowy Microsoft Defender” (piękna polszczyzna!) oraz szczegóły zablokowanego ustawienia (np. klucz Rejestru w gałęzi Policies). Zdarzenia 5013 na komputerze niepodpiętym do domeny informują, że coś w systemie próbuje wymusić zmianę konfiguracji Defendera. Wstrzymanie Ochrony przed naruszeniami sprawi, że zdarzenia 5013 przestanie być logowane, a blokowane ustawienia zaczną obowiązywać.
“Legalne” ustawienia
Co z innymi ustawieniami? Jest ich przecież bardzo dużo. Szablony administracyjne Zasad grupy zawierają dla Defendera około stu przełączników. Czy próby ich oskryptowanej zmiany również okażą się nieskuteczne bez stosowania (drogiego) Microsoft Endpoint Managera? Nie. Pozostałe przełączniki nie zmniejszają docelowej (baseline) ochrony i pozostają dostępne. Niemniej, każda ich zmiana wygeneruje zdarzenie w Dzienniku, tym razem o identyfikatorze 5007 (“Konfiguracja produktu Program antywirusowy Microsoft Defender została zmieniona”, udokumentowana!)
Zamiast przechodzić przez astronomicznie długą listę wszystkich Zasad Grupy, których świadoma konfiguracja zajmuje dużo czasu i wymaga późniejszego utrzymywania, skupimy się na podzbiorze funkcjonalnym właściwym dla użytkownika końcowego. Zamiast GPO, do interakcji z nim użyjemy cmdletu Get-MpPreference.
Więcej szkody niż pożytku
Pierwszą rzeczą, na którą należy zwrócić uwagę podczas edytowania zaawansowanych ustawień Defendera jest to, że nie wszystko jest domyślnie włączone i raczej nie należy tego zmieniać. Na przykład, opcje “DisableCatchupFullScan” i “DisableCatchupQuickScan”, domyślnie wyłączone, dotyczą wymuszania zaległych skanów. Oznacza to, że po dłuższej przerwie, następne skanowanie odbędzie się nie wedle harmonogramu, a natychmiast po uruchomieniu, w praktyce degradując wydajność systemu.
Podobnie sprawa ma się z niewinnymi “DisableEmailScanning”, “DisableRemovableDriveScanning” i “DisableScanningMappedNetworkDrives”. Czemu skanowanie dysków sieciowych, poczty i pendrive’ów ma być wyłączone? Ano dlatego, że są to przełączniki dotyczące pełnego skanowania, a nie ochrony w czasie rzeczywistym. Włączone, sprawią że podczas bezczynności komputer zacznie targać całą zawartość katalogów IMAP i przeszukiwać wszystkie podpięte litery dysków. Efektem może być paraliż dostępu do dysków sieciowych i pobranie setek gigabajtów zawartości zmapowanych dysków OneDrive i Google Drive.
No dobrze, czy warto zatem cokolwiek zmienić? Istotnie, nie jest tak, że każde odstępstwo od defaultów tylko pogarsza sytuację. Jest kilka opcji, nad których zmianą przyda się przynajmniej zastanowić. Chodzi o ochronę chmurową oraz pobieranie definicji.
Ochrona w chmurze
Domyślnie, Defender nie rozszerza ochrony o wspomaganie chmurowe i nie wysyła próbek do analizy. Obie te funkcje możemy włączyć w panelu konfiguracji Defendera, dzięki czemu uzyskamy wyższą ochronę przed bardzo świeżymi zagrożeniami. Opcje zaawansowane umożliwiają jednak dokładne ustawienie, jakie próbki chcemy wysyłać. Mowa o parametrze “SubmitSamplesConsent”. Przyjmuje on wartość “AlwaysPrompt”, “SendSafeSamples”, “NeverSend” lub “SendAllSamples”. Wariant “NeverSend” wyłączy funkcję całkowicie, “AlwaysPrompt” sprawi, że Defender zawsze będzie pytać o pozwolenie, “SendSafeSamples” automatycznie wysyła próbki, w których nie znaleziono danych osobowych, a “SendAllSamples” bez pytania zawsze wysyła wszystko.
Opcja w ustawieniach Defendera przełącza między “AlwaysPrompt” a “SendSafeSamples”. Jeżeli chcemy uciszyć Defendera w tej kwestii, należy użyć jednego z poleceń poniżej.
# Aby Defender nigdy nie próbował nic wysyłać
Set-MpPreference -SubmitSamplesConsent NeverSend
# Aby Defender zawsze wysyłał wszystkie próbki, nawet z danymi osobistymi
Set-MpPreference -SubmitSamplesConsent SendAllSamples
W przypadku włączenia ochrony chmurowej, możliwe jest dokładniejsze skonfigurowanie czułości na nieznane pliki. To prosta droga do utonięcia w powiadomieniach o fałszywie pozytywnych detekcjach, dlatego poświęcimy tej funkcji więcej czasu w kolejnej części. Łatwo bowiem jedną cyferką odciąć się od możliwości pobierania plików, a następnie zdenerwować Tamper Protection na tyle, że nie pozwoli tego odkręcić.
Definicje
Wspomnimy dziś jednak o czymś nie mniej istotnym. O aktualizacjach definicji. Dziś zagrożenie stanowią głównie świeże, a nie generyczne wirusy. Innymi słowy, banalny, ale nowy wirus uniknie detekcji łatwiej, niż skomplikowany, ale charakterystyczny. Dlatego ważne jest jak najczęstsze aktualizowanie definicji. Minimalny odstęp czasowy dla automatycznej aktualizacji to jedna godzina. Ustawienie to wprowadzimy poleceniem:
Set-MpPreference -SignatureUpdateInterval 1
W kolejnej części zajmiemy się zwiększaniem czułości silnika antywirusowego i włączeniem reduktora powierzchni ataków (ASR). Funkcje te nie są domyślne i nie ma ich w UI. Zatem będzie ciekawie.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS