皆さんこんにちは。国井です。
@seafayさん一人で頑張ってる感があるEnterprise Mobility + Security(EMS) Advent Calendar 2021だったので5日目に参加してみました。
今日は日曜日だし、ゆるーくMicrosoft Defenderウイルス対策に実装されている改ざん防止についてのTipsを紹介します。
改ざん防止とは
改ざん防止はMicrosoft Defenderウイルス対策の設定を変更されないようにするための機能です。
マルウェアにとって自身を実行するうえで最も邪魔な存在であるMicrosoft Defenderウイルス対策の設定を変更(無効化)することで、マルウェアを実行しやすくすることを防ぎます。
設定は[Windows セキュリティ] (タスクトレイにある盾のアイコンです) から、ウイルスと脅威の防止 > 設定の管理 の順にたどっていくと項目があります。
改ざん防止を有効にしておくことによって以下の設定に対する変更を行えなくする効果があります。
・ウイルス対策の無効化
・リアルタイム保護の無効化
・ふるまい検出の無効化
・IOfficeAntivirus (Internet Explorer でインストールされる Microsoft ActiveX コントロールをスキャンするインターフェイス)の無効化
・クラウド保護の無効化
・脅威インテリジェンスの更新の無効化
・アラートに対する既定のアクションの変更
・スクリプトスキャンの無効化
改ざん防止の設定
改ざん防止そのものの設定はWindowsセキュリティのUIから変更できるほか、Intuneの構成プロファイルなどを使って定義できます。
実際にIntuneから設定を定義すると、上の画面のように [この設定は管理者によって管理されています] と表示され、設定変更できなくなることがわかります。
また、Microsoft Defender for Endpoint (MDE) を利用しているクライアントデバイスの場合、改ざん防止の設定はMDEから定義されます。そのため、MDEのオンボーディングを行ったデバイスは改ざん防止の設定がWindowsセキュリティのUIから変更できなくなります。
Microsoft Defender for Endpointの検証と改ざん防止
こんなありがたい改ざん防止の機能が有効になっていると困ることがひとつだけあります。それはサンプルのマルウェアを動かして、マルウェアの挙動を検証したいときです。
特にMDEでマルウェアの挙動を検証するときはMDEが改ざん防止を有効にしてくれているので、MDE再度から無効化の設定を行う必要があります。
設定はMicrosoft 365 Defender 管理センター画面の 設定 > エンドポイント > 高度な機能 から [改ざん防止] をオフにします。
ただし、この設定はテナント全体の設定になりますので、必ず検証用のテナントでのみ行うようにしてください!
改ざん防止をオフにすればリアルタイム保護機能やクラウド保護機能などをWindowsセキュリティのUIから手動で無効化できますがMicrosoft Defenderウイルス対策そのものを無効化するUIはありません。これはレジストリから設定し、無効化しなければなりません。
レジストリエディターでHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows DefenderキーからDisableAntiSpyware値を作成し、値のデータに1と設定したのちに再起動すればMicrosoft Defenderウイルス対策そのものを無効化できます。
いうまでもありませんがMicrosoft Defenderウイルス対策そのものを無効化する行為は決して褒められた行為ではありません。今回のようにマルウェアの挙動を検証するなど限定的な目的、そして他の環境からは切り離された環境で利用するようにしてください。
2023年4月1日追記
サンプルマルウェアを動かして検証する場合、MDEにトラブルシューティングモードというのができました。オンボードされたデバイスのインベントリ画面からトラブルシューティングモードを選択すると、改ざん防止機能やリアルタイム保護機能などが3時間だけ無効にできるようになります。これを使えば、永続的に無効にできてしまう上記の設定をするよりは安全だと思います。
