DG(内核隔离）这个要都开启吗要硬件支持吗 ELAM怎么用呢 WD怎么保持脱机模式呢

QQ260535073

DG(内核隔离）这个要都开启吗要硬件支持吗  ELAM怎么用呢 WD怎么保持脱机模式呢

freeyang

1. Device Guard 调用Windows内置虚拟机（Hypervisor），需要硬件支持虚拟化。
2. ELAM是指Early-launch Antimalware的话，这个默认开启，不用设置，作用是保证MD先于其它第三方应用启动，防止恶意软件抢先加载。
3. Win10的MD是云化的杀软，关闭云端保护基本残废，我完整的看过官方的知识库，MD主要是有三道防线，第一道是基于病毒库的传统防毒，第二道是基于机器学习的行为分析，第三道是ASR规则。病毒库基本是云库，本地仅少量较新的病毒码，行为分析的机学引擎在云端，脱机等于作废，只有ASR规则不用联网，但这个还需要在组策略自己动手配置。所以，不联网建议用其他，比如铁壳企业版就允许你选择安装完整的本地病毒定义。

QQ260535073

freeyang 发表于 2021-8-12 21:38
1. Device Guard 调用Windows内置虚拟机（Hypervisor），需要硬件支持虚拟化。
2. ELAM是指Early-launch A ...

谢谢  我家的电脑没有硬件支持  可能可以开启用默认的设置
ELAM 是默认开启 在哪可以设置

freeyang

ELAM 不需要硬件支持，它其实就是让杀软进程成为高优先级的系统进程。Win8开始微软引入了这个技术，所有杀软只要安装一个ELAM驱动就可以使用。微软自家的MD肯定也是用的，MD我不知道在哪设置，组策略里没看到，估计是不给动。
参考官方知识库：https://docs.microsoft.com/en-us ... i-malware-services-

DG电脑不支持虚拟化就不能用，然家里电脑这个没啥用, 微软官方介绍DG是： “lets you set application control policy for code that runs in user mode, kernel mode hardware and software drivers, and even code that runs as part of Windows.” （让你为各类软件，驱动程序，甚至系统本身设置应用控制策略）。这个基本是方便企业部署，比如说企业可以设定当员工打开非企业内部网站时，Edge浏览器自动开启DG模式，这时候Edge就相当于运行在虚拟机上，这样访问带毒网站也不会感染受控客户机。
参考：https://docs.microsoft.com/en-us ... application-control

QQ260535073

我试试开启默认的DG  
ELAM配置为“仅‘好’”这个怎么设置呢 ELAM组策略的可以配置吗  这个的组策略的配置怎么设置呢

ANY.LNK

freeyang 发表于 2021-8-12 21:38
1. Device Guard 调用Windows内置虚拟机（Hypervisor），需要硬件支持虚拟化。
2. ELAM是指Early-launch A ...

好像并不是这样。Defender的本地病毒库也是比较齐全的，并不是只有少量的特征码【之前测试论坛里内含成百上千的病毒样本的大包的时候绝大部分都是本地杀（检测类型为实际）】，而且已经入库的样本也不是很容易就免杀的（从另一个方面反应Defender的本地特征码并不贫乏），测试前断网也能保证较高的查杀率；此外，本地也有机器学习引擎，是轻量化的，存在感不是很强，较云端的机器学习存在感较弱，但我的确遇到过带!ml !cl的本地查杀，脱机会影响查杀效果，但不会完全废掉；此外，ASR规则依据情况，有的会联网

freeyang

ANY.LNK 发表于 2021-8-13 01:23
好像并不是这样。Defender的本地病毒库也是比较齐全的，并不是只有少量的特征码【之前测试论坛里内含成百 ...

谢谢补充。微软官方知识库里是说关闭云提供的保护会大幅降低保护效能，而且Defender好像体量也不大，所以我认为它毒库云化的很厉害。另外官方文档是在云提供的保护这个板块下介绍行为分析功能的，所以这个功能没了云估计是残废了。ASR类似MSE的规则吧，主要还是靠自己的双手，但是不排除云联动（不大确定）。BTW，WD好多功能设置隐藏的是真深，没有企业控制台，就只能对着官方知识库，使劲捣鼓组策略和Powershell，玩的比咖啡还起劲

可以参考：https://docs.microsoft.com/en-us ... view=o365-worldwide

曲中求

freeyang 发表于 2021-8-13 08:07
谢谢补充。微软官方知识库里是说关闭云提供的保护会大幅降低保护效能，而且Defender好像体量也不大，所以 ...

个人以为，微软是既考虑了对于有较强安全需求环境的强大的可自定义的防御，也兼顾了大多数普通用户的智能防护模式，在默认情况下是普通用户优先，强大可定义的防护设置之所以会分拆到其他地方，可能是想避免给普通用户造成不必要的困惑。

MD不是完美的，也不一定适合所有用户和环境，但它的强大被很多用户所忽视。

jasperchau

曲中求 发表于 2021-8-13 09:06
个人以为，微软是既考虑了对于有较强安全需求环境的强大的可自定义的防御，也兼顾了大多数普通用户的智能 ...

其实光看查杀 wd的反应已经很快了 调一下安全级别加上asr其实已经完爆很多收费的杀软了

曲中求

jasperchau 发表于 2021-8-13 09:12
其实光看查杀 wd的反应已经很快了 调一下安全级别加上asr其实已经完爆很多收费的杀软了

认同。