查看: 6913|回复: 56
收起左侧

[技术探讨] MD进一步加强防御功能,这次为大家揭秘三个网络防御功能【MD 2407版体验】

  [复制链接]
驭龙
发表于 2024-7-30 17:57:56 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2024-7-30 18:22 编辑

今天我为大家带来了MD近期更新的三个网络安全功能,大家是否还记得在我前一个帖子https://bbs.kafan.cn/thread-2266373-1-1.html里,我曾经提到过的全新模块NpRep呢?当时NpRep并没有被NisSrv网络实时检查系统服务加载。

时至今日,在默认情况下NisSrv依旧没有加载NpRep模块,如图所示。


NisSrv是没有加载nprep模块的,但是,今天我们通过Windows PowerShell输入命令:
  1. Set-MpPreference -NetworkProtectionReputationMode 1
复制代码

即可激活NP信誉引擎,这是名为ESP信誉引擎的MD网络防护引擎,通过该命令可完全激活。

下图可见,NisSrv服务已经加载了NpRep模块,这样,大家就可以获得比标准信誉引擎更强的ESP信誉引擎的保护。


今天除了开启ESP信誉引擎之外,我再跟大家分享MD的全新分支功能,名为“Behavioral Network Blocks”也就是行为网络阻止BNB新功能,在BNB分支下有两个新功能,分别是“Remote Encryption Protection”远程加密防护,以及“Brute Force Protection”暴力防护,这两个属于BNB的全新功能。

关于官方对BFP暴力防护的描述是:
Microsoft Defender 防病毒中的 Brute-Force 保护可检测并阻止强制登录和启动会话的尝试
低:仅 100% 置信度为恶意的 IP 地址 (默认) 。
中:使用云聚合来阻止超过 99% 的恶意 IP 地址。
高:阻止使用客户端智能和上下文识别的 IP 地址,以阻止超过 90% 的恶意 IP 地址。

而更加惊艳的是REP远程加密防护,按照官方发描述是:
低:仅在置信度为 100% (默认) 时阻止。
中:当置信度高于 99% 时,请使用云聚合和阻止。
高:使用云 Intel 和上下文,并在置信度高于 90% 时阻止。

远程加密保护何时阻止 IP 地址的条件
未配置:应用针对防病毒引擎和平台设置的默认值。
阻止:防止可疑和恶意行为。
审核:在不阻止的情况下生成 EDR 检测。
关闭:功能处于关闭状态,不会影响性能。

REP的作用是这样描述:
Microsoft Defender 防病毒中的远程加密保护可检测并阻止尝试将本地文件替换为其他设备的加密版本

由上可见,MD的全新分支功能,行为网络阻止,是非常强力的网络防御功能,因此,我们的MD进一步强化网络防御功能了。

开启MD的REP远程加密防护的命令如下:
  1. Set-MpPreference -RemoteEncryptionProtectionAggressiveness High -RemoteEncryptionProtectionConfiguredState Block
复制代码

开启MD的BFP暴力防护的命令如下:
  1. Set-MpPreference -BruteForceProtectionAggressiveness High -BruteForceProtectionConfiguredState Block
复制代码

值得注意的是BFP功能开启以后不会立即阻止,会有2周的学习时间。

如果想立即开启BFP的阻止功能,可输入:
  1. Set-MpPreference -BruteForceProtectionSkipLearningPeriod 1
复制代码


以上命令我在MD 4.18.2407版本中正常开启,2406版本应该也可以,但更早的版本就不确定是否可以开启。

好了,今天的帖子就到这里,希望本帖对喜欢MD的饭友有所帮助。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 12经验 +30 人气 +37 收起 理由
白露为霜 + 30 版区有你更精彩: )
gtc + 1 感谢提供分享
axeaaa + 3 版区有你更精彩: )
GDHJDSYDH + 3 感谢解答: )
为你心碎 + 3 感谢解答: )

查看全部评分

胡勇
发表于 2024-7-30 19:13:15 | 显示全部楼层
学习了,感谢!
黑夜zero
发表于 2024-7-30 19:18:15 | 显示全部楼层
感谢,学习了。到时候用办公电脑看看。对了,请问下你现在是使用ESET还是MD还是诺顿。
驭龙
 楼主| 发表于 2024-7-30 19:22:13 来自手机 | 显示全部楼层
黑夜zero 发表于 2024-7-30 19:18
感谢,学习了。到时候用办公电脑看看。对了,请问下你现在是使用ESET还是MD还是诺顿。

诺顿是不可能了,今天卸载sophos,就启动MD了,但是一个月内ESET有可能出新测试版本,所以我是身在曹营心在汉,现在是MD,但是过几天有可能是ESET了
黑夜zero
发表于 2024-7-30 19:27:35 | 显示全部楼层
驭龙 发表于 2024-7-30 19:22
诺顿是不可能了,今天卸载sophos,就启动MD了,但是一个月内ESET有可能出新测试版本,所以我是身在曹营心 ...

好吧。印象中最近ESET好像都在刷版本号。什么时候才能来个给力的更新呢。
驭龙
 楼主| 发表于 2024-7-30 19:31:23 来自手机 | 显示全部楼层
黑夜zero 发表于 2024-7-30 19:27
好吧。印象中最近ESET好像都在刷版本号。什么时候才能来个给力的更新呢。

ESET真没刷版本号,这几年都是这个套路,大版本更新到X.2以后就是下一个大版本,两个月内必出大版本更新的测试版了
黑夜zero
发表于 2024-7-30 19:33:50 | 显示全部楼层
驭龙 发表于 2024-7-30 19:31
ESET真没刷版本号,这几年都是这个套路,大版本更新到X.2以后就是下一个大版本,两个月内必出大版本更新 ...

好的,谢谢。到时候看看大版本更新有啥给力的功能。坐等更新。
yfdyh000
发表于 2024-8-2 11:30:44 | 显示全部楼层
https://learn.microsoft.com/en-u ... nt/mdm/defender-csp
cloud intel是云情报
detects and blocks attempts to replace local files with encrypted versions from another device. 是检测和阻止其他设备将本地文件替换为加密版本的企图。也就是反勒索软件?

BFP不知道对非公网设备有多大帮助。
郢都离人
发表于 2024-8-2 12:02:54 来自手机 | 显示全部楼层
期待defender ui加入开启这个功能
nedjiajia
发表于 2024-8-15 11:00:22 | 显示全部楼层
可以替代卡巴吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 00:57 , Processed in 0.129830 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表