M17 – Microsoft Defender Antivirus

01 · Lý thuyết

Defender Antivirus – Kiến trúc bảo vệ đa lớp

Microsoft Defender Antivirus (MDAV) là AV tích hợp sẵn trong Windows 10/11, không cần cài thêm. Trong môi trường doanh nghiệp, quản lý qua Intune Endpoint Security → Antivirus.

Lớp bảo vệ	Cơ chế	Bảo vệ khỏi
Real-time protection	Monitor file I/O, process creation liên tục	Malware chạy ngay lập tức
Cloud-delivered protection	Gửi hash/sample lên Microsoft cloud để phân tích	Zero-day, new malware chưa có signature
Automatic sample submission	Gửi suspicious files lên Microsoft	Tăng độ chính xác cloud detection
Scheduled scan	Quét toàn bộ hoặc quick scan theo lịch	Malware đang nằm im không chạy
Tamper protection	Ngăn registry/service MDAV bị modify	Malware tự tắt AV
PUA protection	Phát hiện Potentially Unwanted Applications	Adware, browser hijackers, miners

Scan Types – Các loại quét

Loại scan	Phạm vi	Thời gian	Khi nào dùng
Quick Scan	Registry, startup locations, running processes, memory	1–5 phút	Hàng ngày, scheduled mặc định
Full Scan	Toàn bộ ổ đĩa, tất cả file	30 phút – vài giờ	Hàng tuần, sau incident
Custom Scan	Thư mục/file cụ thể	Phụ thuộc scope	Kiểm tra thư mục đáng ngờ cụ thể
Offline Scan	Boot vào WinPE, quét trước OS load	15–30 phút	Rootkit/bootkit đã bypass normal scan

Exclusions – Loại trừ để tránh false positive

Exclusions cần thiết cho các ứng dụng doanh nghiệp bị AV quét chậm, nhưng phải cẩn thận vì exclusion sai có thể tạo lỗ hổng bảo mật:

Loại exclusion	Ví dụ	Lưu ý
File path	`C:\SAP\sapjvm\bin\sapjvm.exe`	Chỉ exclude file cụ thể, không exclude toàn folder
File extension	`.pst`, `.ost` (Outlook data files)	Cẩn thận — malware có thể giả extension
Folder path	`C:\Program Files\SQL Server\`	Chỉ dùng cho database/dev environments
Process	`sqlservr.exe`, `javaw.exe`	Risky — malware có thể mạo danh process

Tamper Protection – Ngăn malware tắt AV

Tamper Protection ngăn kẻ tấn công (hoặc malware) vô hiệu hóa MDAV bằng cách:

Block thay đổi registry keys của MDAV (HKLM\SOFTWARE\Microsoft\Windows Defender)
Block stop/disable service MsSense, WdNisSvc, WinDefend
Block PowerShell commands tắt real-time protection
Khi Tamper Protection bật: chỉ Intune/MDE portal mới có thể thay đổi MDAV settings

Signature updates: MDAV tự update signature mỗi 24 giờ mặc định qua Windows Update/Microsoft Update. Trong môi trường không có internet, cần WSUS hoặc download signature thủ công từ Microsoft Security Intelligence.

02 · Thực hành

Lab A: Tạo Antivirus Policy qua Intune

Thực hành tại: intune.microsoft.com → Endpoint security → Antivirus

Vào Endpoint security → Antivirus → Create Policy
Platform: Windows 10, Windows 11, and Windows Server
Profile: Microsoft Defender Antivirus
Name: AV-Corp-Standard-Policy
Cấu hình:
• Cloud-delivered protection: Enabled
• Cloud-delivered protection level: High
• Automatic sample submission: Send all samples automatically
• Real-time protection: Enabled
• Potentially unwanted app protection: Block
• Tamper protection: Enabled
Scheduled scan:
• Scan type: Quick scan
• Day of week: Everyday
• Scheduled scan start time: 120 (2:00 AM)
Exclusions: (chỉ thêm nếu thực sự cần)
• Excluded paths: C:\Program Files\SAP\
• Excluded extensions: .pst .ost
Assign to All Devices → Create

Lab B: Kiểm tra và quản lý MDAV bằng PowerShell

# Kiểm tra trạng thái MDAV
Get-MpComputerStatus | Select-Object AMRunningMode, RealTimeProtectionEnabled,
    AntivirusEnabled, AntispywareEnabled, TamperProtectionSource,
    AntivirusSignatureLastUpdated, AntivirusSignatureVersion, NISSignatureVersion

# Kiểm tra threats đã phát hiện
Get-MpThreatDetection | Select-Object ThreatID, ProcessName, Resources,
    DetectionSourceTypeID, ActionSuccess, InitialDetectionTime |
    Sort-Object InitialDetectionTime -Descending | Select-Object -First 10

# Chạy Quick Scan ngay lập tức
Start-MpScan -ScanType QuickScan

# Update signature ngay lập tức
Update-MpSignature

# Kiểm tra quarantined items
Get-MpThreat | Where-Object { $_.IsActive -eq $false } |
    Select-Object ThreatName, SeverityID, Resources

AMRunningMode : Normal RealTimeProtectionEnabled : True AntivirusEnabled : True TamperProtectionSource : Intune AntivirusSignatureLastUpdated: 2024-03-15T06:00:00Z AntivirusSignatureVersion : 1.407.34.0 # Get-MpThreatDetection: ThreatID ProcessName DetectionSourceTypeID ActionSuccess -------- ----------- --------------------- ------------- 196570 EICAR_Test_File 1 (User) True # (EICAR là test virus vô hại để verify AV đang hoạt động) # Sau Update-MpSignature: Definitions already up to date. Version: 1.407.34.0

Lab C: Test AV với EICAR file

# EICAR = European Institute for Computer Antivirus Research
# File test vô hại 68 bytes, mọi AV đều phải phát hiện
# Đây là cách chuẩn để verify AV đang hoạt động

# Tạo EICAR test file (sẽ bị AV delete ngay)
$eicarContent = 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'
Set-Content -Path "C:\Temp\eicar-test.txt" -Value $eicarContent -NoNewline

# Nếu AV hoạt động đúng: file bị delete trong vài giây
Start-Sleep -Seconds 3
if (-not (Test-Path "C:\Temp\eicar-test.txt")) {
    Write-Host "SUCCESS: MDAV detected and removed EICAR test file" -ForegroundColor Green
} else {
    Write-Host "WARNING: EICAR file not removed - check AV status!" -ForegroundColor Red
}

SUCCESS: MDAV detected and removed EICAR test file # Windows Security notification hiện lên: # "Threat found: Virus:DOS/EICAR_Test_File" # Action taken: Removed # Alert visible in: security.microsoft.com → Incidents & Alerts

Lab D: Thêm Exclusion qua Graph PowerShell

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

# Lấy AV policy ID hiện có
$avPolicies = Invoke-MgGraphRequest -Method GET `
    -Uri "https://graph.microsoft.com/beta/deviceManagement/configurationPolicies?`$filter=templateReference/templateDisplayName eq 'Microsoft Defender Antivirus'"

$policyId = $avPolicies.value[0].id

# Update policy thêm exclusion cho SAP
$updateBody = @{
    settings = @(
        @{
            settingInstance = @{
                "@odata.type" = "#microsoft.graph.deviceManagementConfigurationSimpleSettingCollectionInstance"
                settingDefinitionId = "device_vendor_msft_defender_exclusions_paths"
                simpleSettingCollectionValue = @(
                    @{ "@odata.type" = "#microsoft.graph.deviceManagementConfigurationStringSettingValue"
                       value = "C:\\Program Files\\SAP\\" }
                )
            }
        }
    )
} | ConvertTo-Json -Depth 10

Invoke-MgGraphRequest -Method PATCH `
    -Uri "https://graph.microsoft.com/beta/deviceManagement/configurationPolicies/$policyId" `
    -Body $updateBody -ContentType "application/json"

Write-Host "Exclusion added for SAP folder"

03 · Tình huống thực tế

Tập đoàn Dệt May Vinatex – Ransomware outbreak và giải pháp phòng ngừa

Vinatex bị tấn công ransomware WannaCry-variant vào năm 2023, lây lan qua 200 máy trong 2 giờ trước khi phát hiện. Nguyên nhân: Windows 7 chưa patch, AV signature cũ 45 ngày, real-time protection bị disable bởi một số user.

Giải pháp sau incident:

✓ Tamper Protection bật toàn bộ: User không còn có thể tắt AV từ Windows Security UI
✓ Cloud protection = High: Block zero-day ngay khi gặp, không chờ signature update
✓ Signature update SLA: Compliance policy check signature age ≤ 7 ngày → non-compliant nếu quá hạn
✓ Scheduled Full Scan: Mỗi Chủ Nhật 2:00 AM (ngoài giờ làm việc)
✓ MDE onboarding: Kết hợp AV với EDR → phát hiện lateral movement sớm hơn nhiều

Kết quả sau 6 tháng:

• 0 ransomware incident — cloud protection block 14 suspicious files trước khi execute
• 100% máy Tamper Protection enabled — không còn user tắt AV
• Signature compliance: 99.1% máy có signature ≤ 24 giờ