Tags: Malware, Intune, Sicherheit
Sobald sich Angreifer Zugang zu einem Rechner verschafft haben, besteht eines ihrer ersten Ziele meist darin, die Sicherheitsmechanismen des Systems auszuhebeln. Dazu gehört besonders das Deaktivieren des Virenscanners. Der Manipulationsschutz soll dies verhindern, bietet aber nur ein Cloud-basiertes Management.
Wenn sich Hacker dauerhaft auf einem System einnisten möchten, indem sie dort Trojaner oder andere Schadsoftware installieren, dann kann sie eine Security-Software wie Microsoft Defender daran hindern. Aus diesem Grund versuchen sie, diese zu deaktivieren.
Defender auf Standardkonfiguration einfrieren
Normalerweise lässt sich Microsofts Virenscanner ohne großen Aufwand ausschalten. Für diesen Zweck gibt es sogar eine eigene Gruppenrichtlinie, darüber hinaus kann man den entsprechenden Schlüssel in der Registry direkt ändern.
Der mit Windows 10 1903 eingeführte Manipulationsschutz verhindert jedoch, dass die vorgegebene Konfiguration von Microsoft Defender verändert oder das Tool deaktiviert wird.
Seit einiger Zeit ist diese Option per Voreinstellung eingeschaltet und auch auf älteren Systemen bis Windows Server 2012 R2 verfügbar.
Die Tamper Protection überwacht unter anderem folgende Ereignisse und blockiert alle Änderungen:
- Deaktivieren des Viren- und Bedrohungsschutzes
- Abschalten des Echtzeitschutzes
- Ausschalten der Überwachung von auffälligen Aktivitäten
- Entfernen von Signatur-Updates
- Ändern von Aktionen als Reaktion auf Bedrohungen
- Deaktivieren des Script-Scanners
Kein Management über lokale Tools
Beim Management des Manipulationsschutzes stellt sich das Problem, dass alle lokalen Mittel als unsicher gelten. Wenn ein Angreifer die Privilegien eines lokalen Admins erlangt, dann wäre er auch in der Lage, auch die Tamper Protection abzuschalten.
Aus diesem Grund lässt sich diese weder durch Gruppenrichtlinien, PowerShell oder direktes Editieren der Registry beeinflussen.
Es besteht allerdings die Möglichkeit, den Status dieses Features mit PowerShell abzufragen:
Get-MpComputerStatus | select IsTamperProtected
Ist es aktiv, dann hat diese Eigenschaft den Wert True. Verwaltet man die Tamper Protection über die Cloud, dann bietet das Defender Portal ein Dashboard, das alle Aktivitäten im Zusammenhang mit diesem Feature anzeigt.
Interaktive Konfiguration
Auf nicht verwalteten PCs können Benutzer den Manipulationsschutz interaktiv steuern, und zwar über die App Einstellungen.
Die entsprechende Option findet sich unter Update & Sicherheit => Windows-Sicherheit => Viren- & Bedrohungsschutz => Einstellungen für Viren- & Bedrohungsschutz => Einstellungen verwalten.
Benutzer mit lokalen Admin-Rechten können sie hier abschalten. Es liegt auf der Hand, dass die Tamper Protection wenig Schutz bietet, wenn die Benutzer unter einem privilegierten Account arbeiten.
Angreifer erlangen indes oft remote Zugang zum Rechner und können dabei keine GUI-Apps ausführen. In diesem Fall lässt sich der Manipulationsschutz nicht aushebeln.
Verwaltung über die Cloud
Aus diesem Grund sieht Microsoft ein zentrales Management der Tamper Protection über die Cloud vor, was jedoch entsprechende Abos für Defender for Endpoint voraussetzt.
Anwender können dann diese Einstellung global über das M365 Defender Portal ändern. Sie wirkt sich dann auf alle Geräte aus, die diesem Tenent zugeordnet sind.
Auf dem Client wird die entsprechende Option in der App Einstellungen abgeblendet, so dass lokale Admins sie nicht mehr ändern können.
Wer die Tamper Protection nicht pauschal ein- oder ausschalten möchte, der kann alternativ Intune oder den Configuration Manager 2006 mit Tenant Attach dafür nutzen. Auf diesem Weg lassen sich bestimmte Geräte gezielt ansprechen.
Setzt man Intune ein, dann sendet das Tool eine signierte Anfrage an die Endgeräte, welche diese überprüfen, bevor sie den Status des Manipulationsschutzes ändern.
Werden Einstellungen auf diesem Weg konfiguriert, dann haben diese eine höhere Priorität als wenn man sie im Defender Portal anpasst.
Fazit
Die Tamper Protection unterbindet Versuche von Angreifern, Microsoft Defender außer Gefecht zu setzen, um ungestört ihren Aktivitäten nachzugehen.
Da lokale Admins nicht in der Lage sein sollen, diesen Schutz zu deaktivieren, sieht Microsoft dafür ausschließlich ein Cloud-basiertes Management vor. Dieses sollte sich gegen unbefugten Zugriff zuverlässig abschirmen lassen.
Die interaktive Konfiguration auf nicht verwalteten Geräten lässt sich von Angreifern leicht missbrauchen, sobald sie administrative Rechte erlangen und Zugriff auf die Konsole haben. In dieser Form bietet das Feature aber noch Schutz, wenn Angreifer sich etwa remote über PowerShell auf das System verbinden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Schädliche Apps und unsichere Treiber mit Microsofts WDAC-Regeln blockieren
- Übersicht: Die wichtigsten Features von Windows Defender
- Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren
- Microsoft Defender AntiVirus mit Intune verwalten
- Reduktion der Angriffsfläche in Microsoft Defender mit Gruppenrichtlinien oder PowerShell aktivieren
Weitere Links