它轻轻地来又悄无声息的去，祭-已死功能之Network Inspection System【迎接WDAG功能】

驭龙

     十天前，微软发布了KB3188693补丁，也就是System Center Endpoint Protection 4.10.205，正因为这个补丁，让我心痛不已，因为我看到了下面这段话：
官方原文：

The Microsoft anti-malware platform previously introduced the Network Real-time Inspection (NRI) feature for augmenting the network detection capabilities of the anti-malware client. By default, the existing Network Inspection System feature was disabled because of the potential performance impact it may have on systems. This triggered an internal shift in investment to focus only on NRI capabilities and signatures. As there has not been an active NIS signature in more than five years, the capabilities and control surface for NIS are removed from Endpoint Protection with this update.

机器翻译：

微软反恶意软件平台先前推出网络实时检测（NRI）功能为增强反恶意软件客户端的网络检测能力。默认情况下，现有的网络检查系统功能是由于潜在的性能影响，它可能对系统上禁用。这引发了投资内部移位只注重NRI能力和签名。由于五年多以来都没有积极NIS签名，此更新从SCEP移除控制面和NIS功能。

     那么网络检查系统究竟是不是真的被移除了呢，毕竟我们在AMP 4.10的关于中还是可以看到网络检查系统引擎和网络检查系统定义的。
WD 4.10的关于：


     从SCEP 4.9.218版本上，我们可以看到IPS功能的模块NisIpsPlugin，这个NisIpsPlugin是Inspection Prevention System的功能核心模块，可在SCEP 4.10.205版本上就没有NisIpsPlugin功能模块了，所以AMP 4.10真的取消了Network Inspection System的IPS功能。
SCEP 4.9中有NisIpsPlugin模块。


SCEP 4.10中没有NisIpsPlugin模块。


     因此从Anti-Malware Platform 4.10版本开始，关于中的网络检查系统和网络检查系统定义，将不再是Network Inspection System功能，而完全是Network Real-Time Inspection Behavior Monitoring功能，换句话说，AMP 4.10以后就没有传统意义上漏洞入侵防护功能了，为什么这样说，请移步
Network Real-Time Inspection Behavior Monitoring功能介绍帖：NIS网络检查系统的全新解析，独特的网络实时行为监控

     目前还不确定的是网络检查系统依托的Generic Application-level Protocol Analyzer Engine是否保留了Inspection Prevention System的功能，但目前是网络行为实时监控也是依托于GAPA Engine的，更多情况只能等下一个版本的AMP平台更新，才能有进一步的信息了。
关于GAPA Engine与IPS功能的进一步信息请移步：Dynamic GAPA引擎的秘密

     最后我们来悼念一下初代网络检查系统的功能吧，它虽然已经是往事，但在2011年之前，真的是十分强大的入侵防御功能，不过它始终不是HIPS功能，仅是漏洞防御功能，可从2011年以后NIS的漏洞防御定义就没有更新过了，这几年更新的网络检查系统引擎和定义都是网络行为实时监控功能的定义。
关于网络检查系统的IPS定义，请移步：网络检测系统的完整特征库信息

     不过大家不要气馁，AMP很快会迎来依托于虚拟化技术的Windows Defender Application Guard功能，该WDAG功能可使Edge浏览器完全虚拟化，进而防御针对浏览器的各种攻击，包括漏洞、Exploit、Malware、Virus、零时差威胁等。
关于WDAG功能，请看官方英原文：https://blogs.windows.com/msedge ... ard-microsoft-edge/
WDAG虚拟化Edge的提示。


WDAG虚拟化概念就是把Edge浏览器放在虚拟环境中，各种威胁都无法进入到真正的系统环境中，实际上Edge与生俱来有AC级别的沙箱技术，现在看来，没有WDAG这种硬件虚拟化强大。


WDAG虽然强大，可惜现在官方说是给企业用户用的，所以我们普通用户还是哭泣吧，毕竟大众化的IPS功能已经不存在了。


     我会继续关注Anti-Malware Platform后续发展的，虽然我一直吐槽WD，但它始终是我非常喜欢的安软之一，我如果有新发现会继续发帖跟大家分享的！

驭龙

ELOHIM 发表于 2016-10-12 17:02
好像10 WD还没有砍这个功能是吗

AMP 4.10都砍了，只有TH2上的WD 4.9没有，我WD 4.10就已经砍了

猪头无双

长江后浪推前浪，早晚会有新功能取而代之，微软不会眼睁睁看着因为WD没有IPS而使用户中招最后导致什么事件的。

ELOHIM

如果把已经实施虚拟化功能的企业版的注册表导出来，导入到专业版或家庭版上，会不会生效？
需要什么单独的文件支持吗？

驭龙

猪头无双 发表于 2016-10-10 14:35
长江后浪推前浪，早晚会有新功能取而代之，微软不会眼睁睁看着因为WD没有IPS而使用户中招最后导致什么事件 ...

所以我在末端介绍了WDAG功能，哈哈

不过IPS功能从没见过发挥效果，哈哈

驭龙

ELOHIM 发表于 2016-10-10 14:53
如果把已经实施虚拟化功能的企业版的注册表导出来，导入到专业版或家庭版上，会不会生效？
需要什么单独的 ...

目前不确定WDAG的具体情况，如果是那种WDATP的话，注册表是无法开启ATP功能的。

但由于现在WDAG一个版本也没有，所以不清楚具体情况

ELOHIM

驭龙 发表于 2016-10-10 14:59
目前不确定WDAG的具体情况，如果是那种WDATP的话，注册表是无法开启ATP功能的。

但由于现在WDAG一个版 ...

嗯。。。好的。

ysj963

虚拟化有什么，木马只要你的信息，不要你系统！

驭龙

ysj963 发表于 2016-10-10 15:52
虚拟化有什么，木马只要你的信息，不要你系统！

老大，WDAG有说是防Trojan的吗？人家是防0Day和Exploit等威胁的，换句话说Ransomware，根本无法通过Exploit从Edge进入系统，这就足够了。

剑魔孤独

体验了两天edge速度好快，等什么时候这个饼能吃的时候再体验全套微软软件。

ysj963

驭龙 发表于 2016-10-10 15:58
老大，WDAG有说是防Trojan的吗？人家是防0Day和Exploit等威胁的，换句话说Ransomware，根本无法通过Explo ...

没什么软用，以后会有跟多XDAY.