微軟昨日宣布���,Microsoft Defender ATP威脅和漏洞管理已添加了對Windows 10篡改保護功能的支持�,以獲取有關組織中暴露的計算機的其他信息����。
微軟說:“現(xiàn)在��,在“威脅與漏洞管理(TVM)”的“安全建議”部分中�����,SecOps和安全管理員可以看到一項建議��,以啟用防篡改功能����,然后可以了解有關該建議的更多信息并采取相應措施�������!
“這使安全團隊可以更清楚地了解有多少臺計算機未啟用此功能����,可以監(jiān)視隨時間的變化以及啟用該功能的過程����。”
TVM已于2019年4月在Microsoft Defender ATP門戶中公開預覽發(fā)布����,它為管理員和SecOps團隊提供與事件調(diào)查,端點漏洞以及構建過程中機器漏洞上下文相關的實時端點檢測和響應(EDR)見解�����。 -在修復過程中����。
微軟最初 于2019年3月宣布為企業(yè)客戶的Microsoft Defender ATP 添加防篡改功能。
防篡改是1903版中引入的Windows 10安全功能��,可防止惡意軟件和威脅行為者禁用或更改旨在阻止其破壞設備或滲透網(wǎng)絡的安全設置。
適用于更多Windows 10家庭和企業(yè)用戶
該功能現(xiàn)在可在更多Windows 10版本中使用�,包括最新版本1709、1803�����、1809����、1903和1909。
雖然允許家庭用戶通過Windows安全設置區(qū)域中的“病毒和威脅防護”選項卡切換防篡改功能����,但對于企業(yè)用戶,也可以“通過Intune管理門戶集中管理此功能”�����。
即使企業(yè)用戶也可以使用與家庭用戶相同的方法來啟用防篡改功能���,組織安全團隊的管理員也可以從Microsoft 365設備管理門戶中的Microsoft Intune啟用它。
在Intune的幫助下�,組織的SecOps團隊和管理員可以通過轉到設備配置-配置文件 > 創(chuàng)建配置文件 > 端點保護,為整個組織或基于設備類型或用戶組啟用防篡改 功能�,如下所示��。
阻止安全繞過
Microsoft Defender ATP威脅和漏洞管理受到支持��,可以為SecOps團隊和管理員提供啟用了防篡改功能的計算機的概況�����,可以在需要的地方切換它�,并密切關注隨時間的變化�����。
說篡改保護是防止安全繞過的重要工具����,這是一種輕描淡寫的說法,因為 過去曾經(jīng)試圖繞過Windows Defender以獲得對受感染設備的持久性���,安全研究人員已經(jīng)觀察到了TrickBot���,GootKit和 Nodersok Trojan等危險惡意軟件 。
但是���,在Windows 10設備上啟用防篡改功能將自動阻止或重置任何更改Windows Defender或Windows安全設置的嘗試���,從而阻止了破壞Windows內(nèi)置安全保護的惡意嘗試����。
“要在TVM中查看篡改保護狀態(tài)����,請轉到安全建議頁面并搜索篡改,” Microsoft 解釋說��。
“在結果列表中��,您可以選擇“ 打開防拆保護”���。它將打開彈出窗口�����,以便您可以了解更多信息,還可以從彈出屏幕中看到導出選項��,以獲取公開的設備列表�����!
挖掘篡改企圖
“破壞企圖通常表明更大的網(wǎng)絡攻擊�。別有用心的人企圖更改安全設置,以此來堅持和住宿未被發(fā)現(xiàn)�,”微軟解釋說。
當攻擊者(惡意軟件或惡意本地用戶)試圖破壞啟用了防篡改功能的系統(tǒng)上的Windows安全性或Windows Defender設置時���,組織的Microsoft Defender安全中心將自動發(fā)出警報��。
這使安全管理員可以更仔細地檢查這些事件��,以查看組織網(wǎng)絡上潛在的目標計算機���,并在需要時采取補救措施。
微軟補充說:“使用Microsoft Defender ATP中的端點檢測和響應以及高級搜索功能�,您的安全運營團隊可以調(diào)查和解決此類嘗試���!
要為您的組織啟用防篡改功能��,您必須具有適當?shù)臋嘞��,例如��,全局管理員�����,安全管理員或分配給組織的安全操作團隊�。
您的組織還必須滿足所有這些要求:
•您的組織必須具有Microsoft Defender ATP E5(包含在Microsoft 365 E5中)。
•您的組織使用Intune來管理設備��。(需要Intune許可證�����; Microsoft 365 E5中包含此許可證)
•Windows計算機必須運行Windows 10 OS 1709�、1803、1809或更高版本�����。
•您必須使用Windows安全性并將安全性情報更新為版本1.287.60.0(或更高版本)���。
•您的計算機必須使用版本4.18.1906.3(或更高版本)的反惡意軟件平臺和版本1.1.15500.X(或更高版本)的反惡意軟件引擎�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
