搜索
查看: 3385|回复: 70
收起左侧

[讨论] MD在设置以后的保护能力应该可以很接近MDE的水平,云保护功能提供近乎即时的保护

  [复制链接]
正义羊
发表于 5 天前 | 显示全部楼层 |阅读模式
本帖最后由 正义羊 于 2022-1-15 17:43 编辑

测试md的时候有条件的话一定要双击扫描剩下的可以运行的样本,云提供的保护是md和mde非常关键的功能,不同于其他杀软,双击之后md会发送信息到云端进行详细对比分析

【原创翻译+动态图制作】揭秘WD最新技术+独特光学系统+云防护下一步计划_Microsoft Defender(MSE)_国外杀毒软件 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

使用下一代技术在 Windows Defender防病毒通过云交付保护_Microsoft Defender(MSE)_国外杀毒软件 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

微软"云端七大引擎+客户端七大引擎"同步运转。_Microsoft Defender(MSE)_国外杀毒软件 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

以前md的云提供的保护对未知威胁的保护能力一般,未知威胁出现的一段时间内会有一部分用户感染。但是现在已经达到了秒级响应,网络好的情况下,一般不会有任何md用户感染

可以用defenderui调整详细设置,专业版系统可以用组策略调整。设置以后的保护能力应该可以很接近mde的水平,需要强大的保护能力并不是必须使用mde

mde的云保护级别应该很高,我们需要调整md的云保护级别



我们还需要调整云检查超时时间,默认是10秒,有时候可能网络不好会影响效果,我们需要调整到更长的时间



还需要调整自动提交样本,选择发送所有文件。默认不会自动上传文档和其他可能包含个人数据的文件



mde有asr规则,我们需要打开md的asr规则



这样设置之后,MD的保护能力应该可以说非常厉害了

我以前的一个帖子的内容:

wannacry勒索攻击提醒我们所有人,我们的系统确实非常脆弱。尽管microsoft defender曾经是基础的反恶意软件,但它现在已经成为最可靠的反恶意软件之一,甚至比某些最受欢迎的反恶意软件还要好,它可以提供近乎即时的保护。



根据微软的说法,“microsoft defender检测到并阻止的所有恶意软件中,大约96%只在一台电脑上观察到一次”,这证明了现代攻击的多态性和针对性,以及威胁的碎片状态。因此,第一次发现就阻止了未知恶意软件是一种关键的保护功能。

云提供的保护


根据windows安全中心界面,云提供的保护功能“通过访问云中的最新保护数据更快地提供增强保护”。

microsoft defender的云提供的保护功能比大多数其他反恶意软件的云保护功能更加强大。云提供的保护和自动提交样本使microsoft defender能够在第一次发现就成功阻止了几乎所有从未出现的新威胁。microsoft defender通常使用机器学习模型来检测恶意软件,97%的恶意软件都会被识别。借助云提供的保护功能,当遇到未知文件,microsoft defender无法做出最终决定时,它可以请求云服务进行进一步检查。microsoft defender可以在确定文件可疑时向服务器发送所有与可疑文件有关的数据,决策不是完全通过microsoft defender做出,而是通过上传文件到服务器,通过行为分析、启发式检测、机器学习模型和大数据分析等多种方式做出决定。在等待云服务的信息时,microsoft defender会锁定这些文件,防止它们对系统造成危害。然后,microsoft defender根据从云服务收到的信息采取行动。微软的服务器发送一个近乎即时的响应,告诉microsoft defender文件很危险,或者请求对文件样本作进一步分析,或者告诉microsoft defender,文件是安全的,可以正常运行。默认情况下,microsoft defender发送数据后等待最多10秒就能收到来自云保护服务的响应,如果microsoft defender没有在发送数据后的10秒内接到信息,它会让可疑文件运行,如果网络连接正常,这应该足够了,接到发送的数据后,云服务通常不到一秒就做出响应,确定该文件是安全的还是危险的。

自动提交样本


microsoft defender指出,在打开自动提交样本时,云提供的保护的效果最佳。这是因为云提供的保护确定文件可疑时,microsoft defender要将其自动上传到服务器,深度分析这个文件。

此功能不会随意地将文件从系统上传到服务器,它只会上传exe文件和其他程序文件,它不会上传文档和其他可能包含个人数据的文件,如果文件可能包含个人数据,但看起来可疑(例如word文档可能包含危险的宏),则在将文件发送到服务器之前,系统会发出提示。

当文件上传到服务器后,会快速分析文件及其行为,以确定它是否危险。如果发现文件有危险,它将在你的系统上被阻止。下次microsoft defender遇到其他人的系统里有这个文件时,无需额外分析即可阻止该文件。

这里还有一个手动提交样本的选项,这会跳转到microsoft网站上的恶意软件分析页面,可以在那里手动上传可疑文件。但是,使用默认设置时,microsoft defender将自动上传疑似危险的文件,并且几乎可以立即阻止这些文件,你甚至不知道文件已上传,如果文件危险,基本上在几秒钟内就被阻止。

为什么要保持打开这些功能?

我建议保持打开这些功能,以保护系统免受恶意软件的攻击,恶意软件可能会很快出现和传播,并且microsoft defender无法通过频繁更新本地恶意软件库来阻止它们。这些功能可以使microsoft defender更快地响应新的恶意软件,并阻止从未见过的恶意软件。

microsoft defender确定是可疑文件时,会自动锁定该文件,基于云的保护会发送该文件,服务器收到了上传的文件,分析之后确定为恶意软件,并创建了记录,然后告诉microsoft defender将其删除,之后,由于创建的记录,该文件在其他受microsoft defender保护的系统上都会被阻止。因此,应该保持这些功能处于启用状态。与云提供的保护服务切断,microsoft defender可能没有足够的信息,将不得不自己做出决定,从而可能允许危险文件运行。使用基于云的保护服务深度分析,该文件被贴上恶意软件的标签,并且将来发现该文件的所有受microsoft defender保护的系统都会知道该文件是危险的。

如何在windows 10安全中心打开/关闭基于云的保护和自动提交样本?

默认情况下这两个功能是打开的,可以通过windows安全中心来查看它们当前是否为打开状态。

通过任务栏或开始菜单打开windows安全中心,点击病毒和威胁防护选项卡。



点击管理设置按钮。



在这里可以打开或关闭这两个功能。



如果不希望microsoft defender与云服务发送和接收数据,可以关闭这两个功能。我不建议关闭这些功能,因为这样会降低microsoft defender保护的及时性

       microsoft defender提供多种下一代检测和防护技术提供近乎即时、自动化的防护。为了动态识别新的威胁,充分利用这些下一代技术的强大功能和速度,microsoft defender可与云服务无缝协作,从而带来最佳的防御效果。microsoft defender云服务不只是保护存储在云中的文件,利用服务器的最新恶意软件库对文件进行扫描,还使用了分布式资源和机器学习,和360安全卫士等反恶意软件不同,360以前的鉴定器很多情况下显示1秒内就完成鉴定了,其实要么是查询,鉴定的文件已经是已知文件了,要么是QVM引擎的扫描结果,现在运行未知文件时,360安全卫士也只是上传,也没有锁定未知文件,分析速度也慢,microsoft defender可以在发送数据后的几秒内通过服务器分析并拦截新威胁,而且在这期间锁定了可疑文件,通过行为分析、启发式检测、机器学习模型和大数据分析等多种方式确定文件是否安全,这样新威胁几乎不可能有机会成功入侵microsoft defender保护的电脑。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
天使的愤怒 + 1 版区有你更精彩: )
HEMM + 1 这DUI可太棒了,就是硬盘活动别点清日志= =

查看全部评分

00006666
发表于 5 天前 | 显示全部楼层
其实MD的大多数设置项目都在组策略里面。
a27573
发表于 5 天前 | 显示全部楼层
关键是EDR,ASR只能弥补一小部分
正义羊
 楼主| 发表于 5 天前 | 显示全部楼层
00006666 发表于 2022-1-15 17:31
其实MD的大多数设置项目都在组策略里面。

可是我用的是家庭版系统,家庭版有方法使用组策略,但是我没有打开
vaedzy
发表于 5 天前 | 显示全部楼层
帮楼上补充一下,还有AIR修复 以及MDEI的多点检测还有Au的每秒备份。
正义羊
 楼主| 发表于 5 天前 | 显示全部楼层
a27573 发表于 2022-1-15 17:31
关键是EDR,ASR只能弥补一小部分

大部分靠什么弥补呢
正义羊
 楼主| 发表于 5 天前 | 显示全部楼层
vaedzy 发表于 2022-1-15 17:33
帮楼上补充一下,还有AIR修复 以及MDEI的多点检测还有Au的每秒备份。

不会差别很大的,应该就是99%和100%的区别
vaedzy
发表于 5 天前 | 显示全部楼层
正义羊 发表于 2022-1-15 17:38
不会差别很大的,应该就是99%和100%的区别

不会 是70和100的差距。我已经授权你MDE了,你试一下就知道了。俩根本就不是一个玩意。只能说开了一些设置以后MD是一流杀软。
正义羊
 楼主| 发表于 5 天前 | 显示全部楼层
vaedzy 发表于 2022-1-15 17:39
不会 是70和100的差距。我已经授权你MDE了,你试一下就知道了。俩根本就不是一个玩意。只能说开了一些设 ...

不会是70和100的差距,测试md的很多时候都没双击,这太委屈md了

不调整设置,md也是一流杀软了可以每次测试md的时候都双击剩下可以运行的样本试试

很多时候都没双击,扫描的成绩确实不好
a27573
发表于 5 天前 | 显示全部楼层
正义羊 发表于 2022-1-15 17:37
大部分靠什么弥补呢

微软要赚钱的
你说靠什么弥补
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-1-20 07:38 , Processed in 0.128571 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表