Les exclusions AMSI pour les scripts PowerShell par nom ne sont pas respectées

Articles techniques ID: KB95419
Date de la dernière modification : 04/07/2022

Environnement

Protection adaptive contre les menaces Endpoint Security (ENS) (ATP) 10.x
Prévention contre les menaces ENS 10.x

Synthèse

La Windows interface d’analyse Antimalware (AMSI) est une API qui Microsoft développée. AMSI est pris en charge sur les systèmes Windows 10 (et versions ultérieures) et Windows Server 2016/2019 (et versions ultérieures). AMSI permet aux applications et aux services de s'intégrer à l'extension ENS Prévention contre les menaces, offrant ainsi une meilleure protection contre les logiciels malveillants. AMSI est intégré aux composants suivants :

Contrôle de compte d’utilisateur (UAC)
PowerShell
Hôte de script Windows
JavaScript et VBScript
Macros VBA d’Office

L’analyse AMSI peut utiliser les exclusions de l’analyseur à l’accès qui sont spécifiées pour les types de processus standard .

En raison des limitations de l’énumération de tampons effectuées par AMSI, l’exclusion d’un script PowerShell par nom ne fonctionne pas.

Problème

Lors de l’exécution d’une script PowerShell que vous excluez par nom, le script est toujours analysé et un événement de détection peut encore se produire.

Cause

Pour une mémoire tampon donnée, AMSI peut fournir un nom de fichier de sauvegarde correspondant. ENS peut utiliser le nom du fichier pour déterminer si un fichier ou un script donné doit être exclu de l’analyse.

Les attributs de mémoire tampon fournis par AMSI sont très application spécifiques. Par exemple, les moteurs JavaScript et VBScript ont tendance à fournir systématiquement un nom de fichier et, par conséquent, ENS peut souvent honorer les exclusions. Toutefois, les attributs AMSI fournis pour un tampon PowerShell ne sont pas cohérents de la même manière. Il arrive parfois qu’un nom de fichier soit renvoyé sous la forme d’un AMSI_ATTRIBUTE , alors que ce n’est pas le cas. De même si un script PowerShell n’est pas choisi pour être analysé à l’aide d’un analyseur à l’accès exclusion, ENS reçoit une deuxième demande d’analyse qui ne contient pas de nom de fichier.

Lorsque la mémoire tampon est destinée à être analysée, l' AMSI_ATTRIBUTE_CONTENT_NAME attribut qui est fourni avec la mémoire tampon ne fournit pas toujours un nom de fichier correspondant. Parfois, le nom de fichier correspond à un nom de script interne (par exemple, Microsoft.PowerShell.Utility.psd1 ). Par conséquent, il n’est pas possible d’établir une corrélation fiable entre le tampon et le nom du fichier. Microsoft considère ce comportement par la conception, car sa documentation pour l’énumération indique que la valeur du nom de contenu peut contenir plusieurs identificateurs différents, parmi lesquels le nom de AMSI_ATTRIBUTE fichier est juste une option.

PowerShell n’effectue pas le suivi de la source d’origine de tous les blocs script qui s’exécutent. Par exemple, un fichier script qui contient des scripts de texte soumet les blocs de script de texte à AMSI. Toutefois, PowerShell ne contient pas le nom de fichier du fichier script dans lequel les blocs de script de texte sont définis.

Ce comportement est prévu en fonction de la conception d’Microsoft de AMSI. Il n’est pas possible pour les exclusions ENS de corréler de manière fiable la mémoire tampon avec un nom de fichier.

Résolution

Il existe plusieurs solutions possibles :

Cliquez sur le mode d’observation pour AMSI. Cette configuration n’est efficace que dans les cas où un blocage se produit et qu’un exclusion de hachage de mémoire tampon n’est pas possible.
Désactivez AMSI pour ENS Prévention contre les menaces et ENS Protection adaptive contre les menaces.

Informations connexes

Microsoft article sur AMSI_ATTRIBUTE énumération
"En excluant les éléments de la section" d’analyse AMSI de la section 10.7 Guide produit de Endpoint Security

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Produits affectés

Langues :

Cet article est disponible dans les langues suivantes :

Knowledge Center

Les exclusions AMSI pour les scripts PowerShell par nom ne sont pas respectées

Environnement

Synthèse

Problème

Cause

Résolution

Informations connexes

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Title

Title

Knowledge Center

Les exclusions AMSI pour les scripts PowerShell par nom ne sont pas respectées

Environnement

Synthèse

Problème

Cause

Résolution

Informations connexes

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Choisissez votre région

Title

Title