小样，几月不见，你就大变样，你还是那个安安心心做基准线的WD吗？MD：我不是WD

驭龙

昨天我在国外区顺便说一句，然后发现好多人都问MD的变化情况，那我就先简单发帖说一下，但由于我安装NAVP，所以并没有实际体验最新版本的MD。

首先来看看MD官方自己的描述：

新增功能
改进了受保护文件夹列表中环境变量的处理，以便 进行受控文件夹访问
改进了使用 Web (MoTW) 的标记对文件 进行随访问扫描 的性能
添加了对具有设备控制的 Active Directory 设备组的支持
修复了以下问题：在引擎重新启动期间， ASROnlyPerRuleExclusions 不适用
Microsoft Defender核心服务已正式提供给使用者设备，即将面向企业客户推出。
修复了设备控制问题，以便在平台更新需要重新启动时仍强制实施设备控制策略
改进了打印方案的设备控制性能
修复了 处理 Unicode 字符) (MpCmdRun.exe -scan 输出中的截断问题

Microsoft Defender核心服务
为了增强终结点安全体验，Microsoft 发布了 Microsoft Defender Core 服务，以帮助提高 Microsoft Defender 防病毒的稳定性和性能。 对于在小型、中型和企业业务领域使用 Microsoft Endpoint 数据丢失防护的客户，Microsoft 正在将代码库拆分为自己的服务。
Microsoft Defender核心服务随 Microsoft Defender 防病毒平台版本 4.18.23110.2009 一起发布。
从 2023 年 11 月开始推出，以预发布客户，并计划在未来几个月内向所有企业客户发布。

这个MD核心服务，就是自4.18.23110版本以后出现的新MD进程MpDefenderCoreService
MD 24020版本的MpDefenderCoreService


按照官方说法是加强MD稳定性和性能，但实际上是为进一步添加新功能而做准备。
以后很多功能会合并到MpDefenderCoreService，原本的MsMpEng应该是负责加载反病毒引擎和安全监控功能，以达到官方说的稳定性提升。

除此之外，最新的24020版本中还出现一个全新功能模块NpRep.dll（我没有安装23110版本，并不知道是否存在这新模块）


按照文件名和描述推测是network protection reputation功能，也就是网络保护信誉检测模块，目前还没有官方的正式公告发出，现在只是预览版本，不过很快就会正式发布，到时候会有官方公告了。

这几个月的MD版本更新真的好激进啊，这是真不想做基准线了，我都后悔续费NAVP了，好几年都不更新功能，感觉都比不上基准线了。

关于MD的更多新变化，也许可能会有后续帖子，也可能没有。

今天就简单分享这些内容了，进一步的信息，我并没有深挖。
============================================================
更新一下内容：

目前我掌握到的信息是MpDefenderCoreService参与消息通知、log记录、设置执行、DLP相关功能、ECS相关功能、检测硬件的传感器、企业级sensor相关功能、TP防篡改相关，等等功能，其中最关键的是DLP相关功能会合并到MDCS进程，MDCS大多数功能都是跟ECS有关系的

顺便一提，MDCS是有独立的MDCS缓存的文件名为DefenderEcsCache.binX，其中包含很多功能。


============================================================
更新一下关于network protection方面的内容，关于NP的检测方法是基于网络协议分析的，目前支持以下协议的分析

1. ·DatagramProcessing
   
2. ·DnsOverTcpParsing
   
3. ·DnsParsing
   
4. ·FtpParsing
   
5. ·HttpParsing
   
6. ·InboundConnectionFiltering
   
7. ·NetworkProtectionPerfTelemetry
   
8. ·QuicParsing
   
9. ·RdpParsing
   
10. ·SmtpParsing
    
11. ·SshParsing
    
12. ·TlsParsing
    
13. ·DnsSinkhole
    
14. ·NetworkProtectionReputation

复制代码

另外还有关于行为网络阻止的功能，分为两大类BruteForceProtection和RemoteEncryptionProtection
其中brute force protection的阈值基于三个模式

1. 0(默认值)        低：仅 100% 置信度为恶意的 IP 地址 (默认) 。
   
2. 1        中：使用云聚合来阻止超过 99% 的恶意 IP 地址。
   
3. 2        高：阻止使用客户端智能和上下文识别的 IP 地址，以阻止超过 90% 的恶意 IP 地址。

复制代码

remote encryption protection的阈值是

1. 0(默认值)        低：仅在置信度为 100% (默认) 时阻止。
   
2. 1        中：当置信度高于 99% 时，请使用云聚合和阻止。
   
3. 2        高：使用云 Intel 和上下文，并在置信度高于 90% 时阻止。

复制代码

好了，先说这些吧，以后我有时间再说一些其他的内容

驭龙

刚刚在MD引擎中发现这些字符串，意味着MD有这些东西

DNS Exfiltration Protection
Remote Encryption Protection
Brute Force Protection
IoT Exploit Protection
Web Exploit Protection
DOS Protection
ART MITM Protection
Geo Fencing Protection
Tor Traffic Protection
Port Scan Protection

胖墩蚂蚁

即使配置很差的电脑也可以装很多杀毒软件

但是  为了利益在引导“多杀软必然冲突蓝屏”的理念，以此作为独占消费者的护城河

直到免费的微软变强以后，开始有了新的说法“WD太卡，误杀严重，处理病毒慢”

就像在公司里一样，强人是可以共存的，但是相互离间的事情也避免不了

如果说公司里两个强人闹到了你在我走，我在你走的二选一的情况，就是领导压不住，镇服不了多人

ANY.LNK

emmm……
虽然但是，但是虽然，我这边的“消费者版本”4.18.23110有了MpDefenderCoreService文件，不过默认情况下并不是启用状态，关键的功能仍然由MsMpEng.exe实现


是需要额外的什么条件吗？

以及，通过对各个旧版本的Defender平台的搜集，我发现虽然微软会添加一些预览版的功能，但也有不少的功能又在后续的更新中给砍掉了，希望有用的更新能够顺利通过微软的砍刀部把……

驭龙

ANY.LNK 发表于 2024-2-24 04:20
emmm……
虽然但是，但是虽然，我这边的“消费者版本”4.18.23110有了MpDefenderCoreService文件，不过默 ...

新功能被砍是不可能的事情，因为MDCS进程的发布和启用已经被官方正式宣布，所以不存在被砍。

目前我的24020版本，是默认强制启动MDCS进程的，但是我这边有NAVP，所以我开的是被动扫描模式，没有实时监控，并不清楚MDCS具体用途，现在的它并没有加载实时监控组件，我不太好确定是MDCS不加载监控，还是因为我这边没启动监控的原因。

其他情况，我也许会进一步观察，现在的情况是MD的核心功能依然依赖于MsMpEng.exe

MDCS进程在我这里是正常启用的

ANY.LNK

驭龙 发表于 2024-2-24 09:51
新功能被砍是不可能的事情，因为MDCS进程的发布和启用已经被官方正式宣布，所以不存在被砍。

目前我的 ...

或许吧……

不过之前似乎也有过要推出的新功能后来被砍掉的情况……：在Windows 10 1709版本的时候Defender添加了一个名为wdnsfltr.exe和wdnsfltrps.dll，描述为Windows Defender Network Stream Filter，当时疑似是想拆分NisSrv.exe的功能，不过下个大版本Windows 10 1803中就被砍了……

以及，我这里23110版本也有了NpRep.dll，并不是到24020版本才出现

超超~.~

现在network protection还支持除edge以外的浏览器么，比如chrome？

驭龙

ANY.LNK 发表于 2024-2-24 12:57
或许吧……

不过之前似乎也有过要推出的新功能后来被砍掉的情况……：在Windows 10 1709版本的时候Def ...

wdnsfltr.exe和wdnsfltrps.dll你说的这两个东西的功能，并没有被砍，被合并了，现在的NP功能中包含DisableRdpParsing和DisableDnsParsing功能，以及其他网络协议检测，并不存在砍了的情况。

驭龙

超超~.~ 发表于 2024-2-24 13:04
现在network protection还支持除edge以外的浏览器么，比如chrome？

当然可以，NP是网络协议层分析的

超超~.~

驭龙 发表于 2024-2-24 13:06
当然可以，NP是网络协议层分析的

我在MD区看到几个讨论帖，说是，需要在chrome插件商城里安装一个插件（前两天还装过，今天找不到了），装好插件之后，会弹出一个网页提示去MS store里再下载一个Microsoft Defender Application Guard Companion的UWP软件。插件+软件的组合才能让SmartScreen扩展到第三方浏览器，并正常启用NP功能。https://bbs.kafan.cn/thread-2263120-1-1.html  （@con16 8楼）
我前两天测试过，插件可以正常安装，UWP也能装，但是两者之间似乎无法正常建立联系，返回浏览器之后依旧提示UWP没有安装。
在不安装插件+UWP的前提下，我用微软官方的那几个测试链接，MD是没有任何反应的。

驭龙

超超~.~ 发表于 2024-2-24 16:57
我在MD区看到几个讨论帖，说是，需要在chrome插件商城里安装一个插件（前两天还装过，今天找不到了），装 ...

唉，首先，插件不需要了，因为W11安全中心已经全局SS

而MD内置的NP如果开启也是协议层的URL拦截，所以插件只不过是浏览器上出现警告画面而已。

Network Protection helps reduce the attack surface of your devices from Internet-based events. It prevents employees from using any application to access dangerous domains that may host phishing scams, exploits, and other malicious content on the Internet.

• Using the browser of your choice (not Edge*), navigate to theNetwork Protection website test
• *Edge has other security measures in place to protect from this vulnerability(smartscreen)
  

再者Microsoft Defender Application Guard这是虚拟化隔离edge，如果没有配置MDAG的话，安装软件也毫无意义的