سامانه پشتیبانی
سامانه پشتیبانی
صفحه اصلی دور خوردن EDR و XDR در تعامل نادرست با TPM

دور خوردن EDR و XDR در تعامل نادرست با TPM

برای جلوگیری از دور زدن EDR از طریق حملات بوت، TPM (Trusted Platform Module) باید به درستی پیکربندی شود. تنظیمات زیر در TPM می‌توانند امنیت EDR را تقویت کنند:

  1. فعال‌سازی TPM و Secure Boot

  • فعال‌سازی TPM 2.0:

به UEFI/BIOS بروید و مطمئن شوید که TPM در حالت “Enabled” و “Active” است.

اگر TPM در حالت Discrete یا Firmware TPM باشد، امنیت بیشتری دارد.

  • فعال‌سازی Secure Boot:

مانع از اجرای Bootloaderهای غیرمجاز که ممکن است EDR را دور بزنند.

در UEFI Settings، Secure Boot را Enabled کنید.

اگر امکانش وجود دارد، Custom Key Management فعال کنید و فقط کلیدهای امضاشده سازمان را بپذیرید.

  1. استفاده از Measured Boot

  • فعال‌سازی “Measured Boot” در Windows/Linux:

این قابلیت مقدار هش هر مرحله از فرآیند بوت را در TPM ذخیره می‌کند تا هرگونه تغییر مشکوک شناسایی شود.

ویندوز این مقادیر را در Remote Attestation ارسال می‌کند تا سیستم‌های EDR یا SIEM آن را تحلیل کنند.

  • فعال‌سازی در ویندوز:

در Group Policy Editor (gpedit.msc) مسیر زیر را باز کنید:

Computer Configuration -> Administrative Templates -> System -> Trusted Platform Module Services

تنظیم Configure TPM platform validation profile را فعال کنید.

گزینه‌های PCRs 0, 2, 4, 7, 11 را فعال کنید.

  1. فعال‌سازی Windows Defender Credential Guard و HVCI

بخش Windows Defender Credential Guard از حملات Pass-the-Hash و دسترسی به حافظه کرنل توسط مهاجمین جلوگیری می‌کند.

موضوع Hypervisor-Enforced Code Integrity (HVCI) اجرای درایورهای آسیب‌پذیر را متوقف می‌کند، که مانع از غیرفعال کردن EDR در بوت می‌شود.

  • فعال‌سازی در ویندوز:

دستور زیر را در PowerShell اجرا کنید:

Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard -NoRestart

  • برای HVCI:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard” -Name EnableVirtualizationBasedSecurity -Value 1

  1. فعال‌سازی Remote Attestation تایید از راه دور

اینTPM Remote Attestation کمک می‌کند که SIEM یا EDR وضعیت بوت را بررسی کند و ببیند آیا تغییری در سیستم رخ داده است یا نه.

  • فعال‌سازی در ویندوز:

اینPowerShell را با دسترسی Administrator باز و اجرا کنید:

tpmtool getdeviceinformation

اگر Attestation: Ready باشد، سیستم برای این قابلیت آماده است.

تنظیمات را در Group Policy Editor بررسی کنید:

Computer Configuration -> Administrative Templates -> Windows Components -> Device Health Attestation Service

و گزینه Allow Device Health Attestation processing را فعال کنید.

  1. حفاظت از TPM در برابر تغییرات غیرمجاز

  • پیکربندی PIN برای TPM:

برای جلوگیری از تغییرات غیرمجاز در تنظیمات TPM، یک PIN برای آن تنظیم کنید.

در PowerShell اجرا کنید:

tpmvscmgr.exe create /name:MyTPM /pin:123456

  • غیرفعال کردن امکان پاک کردن TPM از راه دور

در Group Policy، تنظیم Prevent Clearing TPM را فعال کنید تا مهاجم نتواند TPM را ریست کند.

خرید EDR و XDR به تنهایی کارساز نیست. تنظیمی ماهرانه هم لازم است تا این ابزارها به درستی از ما حفاظت کنند.

 

نویسنده مقاله : آقای روزبه نوروزی