查看: 3376|回复: 35
收起左侧

[一般话题] MD没有加密协议检测?:No,MD有加密协议检测?:Yes【MD:不要小看我的网络保护NP】

  [复制链接]
驭龙
发表于 2024-8-23 14:58:26 | 显示全部楼层 |阅读模式
昨天我看到一个关于MD的说法,说MD没有HTTPS扫描,所以网页打开速度非常快。

这是真的吗?答案肯定不是,MD虽然没有那种抱着完整特征库去扫描网络传输协议的特征码HTTP(S)扫描,但你要说MD没有HTTP(S)或者说TLS扫描,那是不对的,当然前提是你需要通过PowerShell命令:
  1. Set-MpPreference -EnableNetworkProtection Enabled
复制代码

开启MD的网络保护,才能获得MD的NP功能,默认状态的MD现在并没有开启NP功能。

关于网络保护功能,微软的技术文档中有详细介绍,这里引用其中一部分内容:
网络保护概述
网络保护有助于保护设备免受基于 Internet 的事件的影响。 网络保护是一种攻击面减少功能。 它有助于防止员工通过应用程序访问危险域。 在 Internet 上托管网络钓鱼欺诈、攻击和其他恶意内容的域被视为危险。 网络保护扩展了 Microsoft Defender SmartScreen 的范围,以阻止所有尝试基于域或主机名) 连接到低信誉源 (的出站 HTTP (S) 流量。

网络保护将 Web 保护 中的保护扩展到操作系统级别,并且是 Web 内容筛选 (WCF) 的核心组件。 它向其他受支持的浏览器和非浏览器应用程序提供 Microsoft Edge 中的 Web 保护功能。 当与 终结点检测和响应一起使用时,网络保护还提供 (IOC 入侵指标的可见性和阻止) 。 例如,网络保护适用于可用于阻止特定域或主机名的 自定义指示器 。

为什么网络保护很重要
网络保护是Microsoft Defender for Endpoint中攻击面减少解决方案组的一部分。 网络保护使网络层能够阻止 URL 和 IP 地址。 网络保护可以阻止使用某些浏览器和标准网络连接访问 URL。 默认情况下,网络保护使用 SmartScreen 源保护计算机免受已知恶意 URL 的侵害,SmartScreen 源会以类似于 Microsoft Edge 浏览器中 SmartScreen 的方式阻止恶意 URL。 网络保护功能可以扩展到:

阻止来自你自己的威胁情报的 IP/URL 地址 (指示器)
阻止未批准的服务Microsoft Defender for Cloud Apps
基于类别 (Web 内容筛选) 阻止浏览器访问网站

MD官方技术文档,明确表示MD可以监控所有域名和主机名的流量,所以MD的NP功能确实是属于流量扫描。

但由于Microsoft Edge浏览器本身内置SmartScreen功能,所以MD的NP不会重复检测edge浏览器,但是除了edge浏览器,第三方浏览器和其他应用程序的流量,都是被MD监控的,也就是被NP功能进行流量扫描检测,这里我使用SS的测试URL,是HTTPS协议的URL,我通过PowerShell命令,使用PS访问测试URL。
  1. $Response = Invoke-WebRequest -URI https://smartscreentestratings2.net/
复制代码

PS提示无法建立SSL或TLS安全通道,这就表明MD的网络保护功能,成功阻止了加密连接,这就意味着MD是有网络加密协议检测能力的,而不是没有。


既然今天已经说了这么多,那我就在分享一些关于MD的网络实时检测服务Microsoft Network Realtime Inspection Service也就是NISSrv进程的更多内容吧。

在微软安全软件远古时期,nissrv本意是Network Inspection System (NIS) Service,也就是网络检测系统服务的缩写。

但是到了Windows Defender 4.2以后,NIS组件被重新设计,成为全新的网络实时检测NRI功能,具体细节可以看我当年的帖子。

虽然功能从NIS单纯的防漏洞功能,改成具有网络行为实时遥测的NRI功能,但是进程服务名并没有更改,所以时至今日,我们还能看到nissrv进程的存在,不过已经今时不同往日。

在WD 4.14版本以后,在WD的关于中已经看不到网络行为实时检测的相关信息,也没有了GAPAEngine的身影,而是合并到WD的核心反病毒引擎中,Network Real-Time Inspection功能也并没有消失,现在通过PowerShell命令,依旧可以看到Network Real-Time Inspection(NIS)的存在
  1. Get-MpComputerStatus
复制代码



现在NIS和NRI的行为特征码,依然存在于MD的特征库中发挥着网络实时检测行为监控功能,也就是说网络行为实时检测功能,也是MD的重要网络防御功能。
NIS和NRI的行为特征码如下附件:


尽管如此,那时候的WD应该是不算有网络流量监控的,后期MDE出现以后,MD才开放了网络保护NP功能,在2022年的时候,MD再度大更新,为网络基础检测功能,提供更强大的分析能力,融入开源IDS入侵检测系统的Zeek引擎,从此以后,MD的网络基础检测能力才有了突飞猛进的变化,前些天我发的帖子就说明NP功能现在正在不断加强,这也是因为融入Zeek引擎的原因。

好了,今天的帖子就到这里,我们下一个帖子再见!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 9经验 +30 人气 +29 收起 理由
白露为霜 + 30 感谢提供分享
曲中求 + 3 精品文章
喀反 + 3 版区有你更精彩: )
墓雪千山 + 3 精品文章
为你心碎 + 3 感谢解答: )

查看全部评分

驭龙
 楼主| 发表于 2024-9-15 15:07:30 | 显示全部楼层
abc531005 发表于 2024-9-15 09:48
请问龙大,假如不想用了。怎样禁用此功能呢?
  1. Set-MpPreference -EnableNetworkProtection Disabled
复制代码
这条命令就可以禁用NP保护了
gtc
发表于 2024-8-23 17:17:13 | 显示全部楼层
那默认edge浏览器,这功能有必要开启吗?
驭龙
 楼主| 发表于 2024-8-23 17:22:09 | 显示全部楼层
gtc 发表于 2024-8-23 17:17
那默认edge浏览器,这功能有必要开启吗?

edge本身有SS信誉,但其他进程没有,所以推荐开启,这样其他进程联网也会被NP进行流量监控,比如说PowerShell,所以还是推荐开启MD的NP功能
gtc
发表于 2024-8-23 17:27:48 | 显示全部楼层
驭龙 发表于 2024-8-23 17:22
edge本身有SS信誉,但其他进程没有,所以推荐开启,这样其他进程联网也会被NP进行流量监控,比如说PowerS ...

感谢解答,回家我就开启这功能
klub
发表于 2024-8-23 19:04:48 来自手机 | 显示全部楼层
驭龙 发表于 2024-8-23 17:22
edge本身有SS信誉,但其他进程没有,所以推荐开启,这样其他进程联网也会被NP进行流量监控,比如说PowerS ...

Set-MpPreference -EnableNetworkProtection Enabled好像不能用,错误,不知道为什么
驭龙
 楼主| 发表于 2024-8-23 19:10:56 | 显示全部楼层
klub 发表于 2024-8-23 19:04
Set-MpPreference -EnableNetworkProtection Enabled好像不能用,错误,不知道为什么

并没有问题

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
klub
发表于 2024-8-23 19:22:24 | 显示全部楼层

龙大,你是怎么打开这个窗口的
驭龙
 楼主| 发表于 2024-8-23 20:01:38 来自手机 | 显示全部楼层
本帖最后由 驭龙 于 2024-8-23 20:02 编辑
klub 发表于 2024-8-23 19:22
龙大,你是怎么打开这个窗口的

管理员身份运行PS ISE
klub
发表于 2024-8-23 20:32:13 | 显示全部楼层
驭龙 发表于 2024-8-23 20:01
管理员身份运行PS ISE

龙大,你别笑话我,真不会玩。能说的详细点吗?
驭龙
 楼主| 发表于 2024-8-23 20:35:05 来自手机 | 显示全部楼层
klub 发表于 2024-8-23 20:32
龙大,你别笑话我,真不会玩。能说的详细点吗?

任务栏搜索框输入PowerShell ISE
管理员身份运行就可以了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 00:45 , Processed in 0.123246 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表