请教组策略的MP引擎“文件哈希”计算功能作用

显示全部楼层 · 发表于 2021-9-29 20:14:11

本帖最后由潘基蚊于 2021-9-29 22:08 编辑

组策略中，关于MP引擎有个选项：

      启用或禁用文件哈希计算功能。

      启用:
      当启用此功能时，Microsoft Defender 将针对它扫描的文件计算哈希值。

      禁用:
      不计算文件哈希值

想问下该选项的作用，开启是否会好一些？谢谢

显示全部楼层 · 发表于 2021-9-29 22:20:56

本帖最后由潘基蚊于 2021-9-29 22:25 编辑

找到一段描述：

你应该考虑使用这个功能来改善微软卫士高级威胁防护（MDATP）中对自定义指标的阻断。这项新功能迫使引擎为所有被扫描的可执行文件计算完整的文件哈希值。
这可能会产生性能成本，我们通过只在第一时间生成哈希值来最大限度地减少这种成本。你可能想更彻底地测试性能的情况包括你经常创建新的可执行内容的设备（例如，开发人员）或你极其频繁地安装或更新应用程序的设备。

料想该功能应该用于快速检测文件变动和特征值，但看这个描述好像有点不同。
难道hash只被MD引擎用于筛选自定义的文件规则？那是否意味着如果没有自定义文件阻断规则，该功能就是毫无价值、只会增加扫描成本？

显示全部楼层 · 发表于 2021-10-1 08:48:15

可能是在文件自动上报的时候会有明显的体现吧，我这边自动上报时日志里会显示文件的sha256值，如果没有开启的话这一行就是空的

[新手上路] 请教组策略的MP引擎“文件哈希”计算功能作用

本帖子中包含更多资源