查看: 2278|回复: 8
收起左侧

[一般话题] Microsoft Defender for Business跟说好的不一样?【MDB简评+体验】

[复制链接]
驭龙
发表于 2024-8-26 17:25:15 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2024-8-26 18:49 编辑

我之前一直有关注过Microsoft Defender for Business也就是MDE大企业版本的简易版,但无奈之前的老爷机电脑配置太差,七代奔腾双核U系低压处理器,4G的内存,还没有固态硬盘,我就一直没有去体验MDB,因为七八年前我曾体验过MDE的前身WDATP,对当年的WDATP性能心有余悸,也就没有体验最新的MDB,不过现在今时不同往日,我的新设备已经到家二十多天了,所以这次就来简单体验一下精简的MDE也就是Microsoft Defender for Business吧。

首先访问MD的门户
https://security.microsoft.com/
MD首页提供了各种信息,还免费分享一些安全情报


在终结点也就是Endpoint的设备配置中,有跟MD本地UI提供的差不多的下一代保护设置策略,实际上跟本地安全中心的设置没啥太大区别,并没有提供高级设置


只不过网络保护,NP在MDB设置中是默认开启阻止模式的,MD安全中心没提供设置且默认关闭。


设备配置中还有一个防火墙策略,基本上聊胜于无,还不如本地高级防火墙设置功能齐全呢。


在设置中的终结点选项,就有一些MDB高级设置了,大部分是端点控制的功能,以及强制使用Intune的配置策略,注意MDB是没有提供intune完整服务的,所以MDB只能使用部分intune功能,例如设置端点的高级设置以及攻击面减少ASR规则,其他功能就需要intune服务许可证了。


在端点设置下有web内容筛选功能,这个功能类似于企业端的访问网站类型控制或者是强化版家长控制,强烈在高级设置中关闭,这东西超级卡网页速度,我们买MDB的用户应该都没人需要这个功能吧。


配置管理中的强制范围,这个是为没有注册intune设备的我们提供的强制使用intune策略功能,在intune的端点安全中设置的反病毒策略和攻击面减少策略,都会强制同步到MDE的端点上,不需要设备在intune中注册管理。


MDB还带了漏洞管理功能,这真的非常好用,提示我说我的office有漏洞,我都没发现,去更新一下,真的有office 2021的更新,真的非常好用。


事件管理和警报什么的是MDE的简易版,只有可疑行为会被记录,没有端点正常使用和行为的记录,反正我在MD门户中是没看到进一步的非可疑行为事件和记录,所以MD门户上看不到MDB端点什么时候打开什么程序,访问什么网站的事件日志,反正这最新版我是没找到。


MD门户的其他内容就没啥必要说了,所以就不继续逐一介绍,大多数都是安全情报和管理控制端的管理信息和统计数据什么的,与安全功能关系不大。

======================================================
我们使用MDB以后在本地会开启WDATP传感器,获得MDB的自动攻击阻断和EDR功能,以及强大的行为分析能力,这就是开启MDB的好处。

MDB传感器开启以后会启用包括MsSense SenseTVM SenseNdr SenseIR等四个进程。



以及msseccore mssecflt mssecwfp三个驱动程序,其中flt是负责事件记录的核心,wfp是负责网页内容筛选,core是核心启动驱动。


在没有MDB的传感器接入MDB云端的情况下,MD是没有拦截C2这种威胁的能力,但是启用MDB以后,MDB是可以拦截C2的,这就是MDB强大之处,为MD提供了更强大的行为分析。

有MDB的情况下,MD本地通过MDB发布的EDR云特征,也就是动态签名服务,直接行为拦截C2攻击。


MD门户的警报和事件中也有详细记录。


所以MD变成MDB以后,我们获得的是自动化无需管理员操作和分析的EDR拦截能力,这就是简易版的MDE了,而且没有太多的设置,基本上是设置完成,就不需要管了,MDB就是为简化操作而生的小企业产品。

===================================================
现在我来吐槽一下我体验过程中遇到的问题,当然也有可能是遇到BUG,也可能就是这种设置,也有可能是版本问题。

安全中心被MDB接管以后,我们基本上无法更改MD设置了,篡改防护级别变成ATP,强化自我保护,但用户也被排除在外了,这就是MD的五级自我保护的强度。


我想不通的是接下来这个问题,启用MDB之前,我的MD是启用TDT技术的,但是,MD被MDB接管以后,TDT变成N\A状态,彻底丧失能力,KSLD驱动也无法加载。
MpCmdRun: Command Line: "C:\ProgramData\microsoft\windows defender\platform\4.18.24080.4-0\mpcmdrun.exe"  -TDT
Start Time: ‎周一 ‎8月 ‎26 ‎2024 00:36:22

MpEnsureProcessMitigationPolicy(0x5): hr = 0x1
Querying MpGetTDTFeatureStatusEx(MP_TDT_STATUS_V5)...
ERROR: MpGetTDTFeatureStatusEx(MP_TDT_STATUS_V5) failed: 0x8050800c
ERROR: GetTDTFeatureStatus() failed (0x8050800c)
MpCmdRun.exe: hr = 0x8050800c.
MpCmdRun: End Time: ‎周一 ‎8月 ‎26 ‎2024 00:36:22

TDT状态彻底废掉了。


不是说MDE是有最完整TDT功能的吗?为什么MDB会把TDT功能搞残了,不知道这是BUG还是什么。

但是MDB禁用以后,TDT功能就立即恢复工作,系统都没有重启,这是让我想不通的,希望是个BUG吧,或者WDATP 传感器自己有TDT组件取代了MD的TDT组件?这我不确定,需要以后有时间进一步确认。


不甘心的我再次重新开启MDB,结果好端端的TDT功能再次变成N\A了,这下子我真的不知道是啥情况了,我这两天再观察观察,看看是什么原因吧。
注意篡改防护,已经变成ATP级别了,普通方法无法关闭MDB了


本帖到这里,我吐槽一句,WDATP传感器还是跟七八年前一样,非常吃CPU,我这边会被WDATP吃掉半个核的CPU使用率,要知道我这是二十线程的桌面级处理器啊,换成H或者U处理器,我是不敢想了。

体验一天下来,我这设备算得上是主流性能了,可还是感觉响应速度慢了一些,所以WDATP传感器是真的影响系统速度,不要说我设备太差,我这新设备除了是核显,其他方面真的是主流了,绝对不差,而且比大多数笔记本强大很多。

还有就是不关闭Web内容筛选的情况下,MDB是真的非常卡网页访问速度,关闭会好一些,但好像还是有一点点的影响,反正我是不推荐开这个功能的,意义不大。

最后总结一下,如果需要自动化的EDR功能,不怕影响一点系统响应速度,那绝对推荐使用MDB,毕竟一个月才22¥,这价格买到自动化的EDR功能,是真的非常非常划算了。
不过ASR攻击面减少规则和反病毒规则也就是云等级设置,这些都是需要转到intune的端点安全中设置,这也算得上是有一点麻烦,还不如本地组策略或者PowerShell命令设置简单,所以MDB只是为MD提供EDR和自动化攻击阻断以及漏洞管理,行为分析加强,其他并没有太多提升。(是不是可以说MD已经很强了,大部分MDB功能都有了)

PS:这个帖子可能是我近期的最后一个大型帖子了,后续或许会有新的帖子,但由于我个人时间关系,可能不会写这种大型的体验帖子,不过我依然与卡饭同在,饭友们有什么问题也可以问我,我看到以后会回复的,最后的最后,感谢各位饭友们的支持,谢谢!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 6经验 +30 魅力 +1 人气 +20 收起 理由
白露为霜 + 30 + 1 版区有你更精彩: )
HEMM + 3 版区有你更精彩: )
莒县小哥 + 8 精品文章
ericdj + 3 感谢提供分享
喀反 + 3 版区有你更精彩: )

查看全部评分

郢都离人
发表于 2024-8-26 18:21:13 来自手机 | 显示全部楼层
我挺喜欢这个ui的说实话
驭龙
 楼主| 发表于 2024-8-26 18:40:25 来自手机 | 显示全部楼层
郢都离人 发表于 2024-8-26 18:21
我挺喜欢这个ui的说实话

其实就是一个网站而已,没有本地Ui,哈哈
freeyang
发表于 2024-9-9 21:03:59 | 显示全部楼层
补充一下,真需要Web Content Filtering的家庭直接用DNS过滤就行了,也不会有啥卡网问题好担忧的。
ANY.LNK
发表于 2024-10-19 22:52:35 | 显示全部楼层
问个问题,龙大有没有遇到过这个“安全建议”加载不出来的情况啊?

我的一直加载不出来,许多东西又按照提示转到这里操作了,结果加载不出来

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
 楼主| 发表于 2024-10-19 22:59:32 | 显示全部楼层
ANY.LNK 发表于 2024-10-19 22:52
问个问题,龙大有没有遇到过这个“安全建议”加载不出来的情况啊?

我的一直加载不出来,许多东西又按照 ...

我之前的安全建议可以看到的,一大堆建议,但大多数都被我忽略了,没有不能显示的情况,不过MDB门户经常更新,现在的情况我不清楚,因为我的MDB过期了

评分

参与人数 1人气 +1 收起 理由
ANY.LNK + 1 感谢解答: )好吧……

查看全部评分

桔梗想见雪
发表于 2024-10-31 18:17:07 | 显示全部楼层
一台设备22RMB么?
驭龙
 楼主| 发表于 2024-10-31 19:36:42 | 显示全部楼层

是的,一个月22元
桔梗想见雪
发表于 2024-11-2 13:40:53 | 显示全部楼层
驭龙 发表于 2024-10-31 19:36
是的,一个月22元

有点小贵,啥时候手机➕电脑22还勉强划算不然不如卡巴三年一用户便宜
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 01:12 , Processed in 0.209575 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表