Microsoft Defender for Business跟说好的不一样？【MDB简评＋体验】

驭龙

我之前一直有关注过Microsoft Defender for Business也就是MDE大企业版本的简易版，但无奈之前的老爷机电脑配置太差，七代奔腾双核U系低压处理器，4G的内存，还没有固态硬盘，我就一直没有去体验MDB，因为七八年前我曾体验过MDE的前身WDATP，对当年的WDATP性能心有余悸，也就没有体验最新的MDB，不过现在今时不同往日，我的新设备已经到家二十多天了，所以这次就来简单体验一下精简的MDE也就是Microsoft Defender for Business吧。

首先访问MD的门户
https://security.microsoft.com/
MD首页提供了各种信息，还免费分享一些安全情报


在终结点也就是Endpoint的设备配置中，有跟MD本地UI提供的差不多的下一代保护设置策略，实际上跟本地安全中心的设置没啥太大区别，并没有提供高级设置


只不过网络保护，NP在MDB设置中是默认开启阻止模式的，MD安全中心没提供设置且默认关闭。


设备配置中还有一个防火墙策略，基本上聊胜于无，还不如本地高级防火墙设置功能齐全呢。


在设置中的终结点选项，就有一些MDB高级设置了，大部分是端点控制的功能，以及强制使用Intune的配置策略，注意MDB是没有提供intune完整服务的，所以MDB只能使用部分intune功能，例如设置端点的高级设置以及攻击面减少ASR规则，其他功能就需要intune服务许可证了。


在端点设置下有web内容筛选功能，这个功能类似于企业端的访问网站类型控制或者是强化版家长控制，强烈在高级设置中关闭，这东西超级卡网页速度，我们买MDB的用户应该都没人需要这个功能吧。


配置管理中的强制范围，这个是为没有注册intune设备的我们提供的强制使用intune策略功能，在intune的端点安全中设置的反病毒策略和攻击面减少策略，都会强制同步到MDE的端点上，不需要设备在intune中注册管理。


MDB还带了漏洞管理功能，这真的非常好用，提示我说我的office有漏洞，我都没发现，去更新一下，真的有office 2021的更新，真的非常好用。


事件管理和警报什么的是MDE的简易版，只有可疑行为会被记录，没有端点正常使用和行为的记录，反正我在MD门户中是没看到进一步的非可疑行为事件和记录，所以MD门户上看不到MDB端点什么时候打开什么程序，访问什么网站的事件日志，反正这最新版我是没找到。


MD门户的其他内容就没啥必要说了，所以就不继续逐一介绍，大多数都是安全情报和管理控制端的管理信息和统计数据什么的，与安全功能关系不大。

======================================================
我们使用MDB以后在本地会开启WDATP传感器，获得MDB的自动攻击阻断和EDR功能，以及强大的行为分析能力，这就是开启MDB的好处。

MDB传感器开启以后会启用包括MsSense SenseTVM SenseNdr SenseIR等四个进程。



以及msseccore mssecflt mssecwfp三个驱动程序，其中flt是负责事件记录的核心，wfp是负责网页内容筛选，core是核心启动驱动。


在没有MDB的传感器接入MDB云端的情况下，MD是没有拦截C2这种威胁的能力，但是启用MDB以后，MDB是可以拦截C2的，这就是MDB强大之处，为MD提供了更强大的行为分析。

有MDB的情况下，MD本地通过MDB发布的EDR云特征，也就是动态签名服务，直接行为拦截C2攻击。


MD门户的警报和事件中也有详细记录。


所以MD变成MDB以后，我们获得的是自动化无需管理员操作和分析的EDR拦截能力，这就是简易版的MDE了，而且没有太多的设置，基本上是设置完成，就不需要管了，MDB就是为简化操作而生的小企业产品。

===================================================
现在我来吐槽一下我体验过程中遇到的问题，当然也有可能是遇到BUG，也可能就是这种设置，也有可能是版本问题。

安全中心被MDB接管以后，我们基本上无法更改MD设置了，篡改防护级别变成ATP，强化自我保护，但用户也被排除在外了，这就是MD的五级自我保护的强度。


我想不通的是接下来这个问题，启用MDB之前，我的MD是启用TDT技术的，但是，MD被MDB接管以后，TDT变成N\A状态，彻底丧失能力，KSLD驱动也无法加载。

MpCmdRun: Command Line: "C:\ProgramData\microsoft\windows defender\platform\4.18.24080.4-0\mpcmdrun.exe"  -TDT
Start Time: ‎周一 ‎8月 ‎26 ‎2024 00:36:22

MpEnsureProcessMitigationPolicy(0x5): hr = 0x1
Querying MpGetTDTFeatureStatusEx(MP_TDT_STATUS_V5)...
ERROR: MpGetTDTFeatureStatusEx(MP_TDT_STATUS_V5) failed: 0x8050800c
ERROR: GetTDTFeatureStatus() failed (0x8050800c)
MpCmdRun.exe: hr = 0x8050800c.
MpCmdRun: End Time: ‎周一 ‎8月 ‎26 ‎2024 00:36:22

TDT状态彻底废掉了。


不是说MDE是有最完整TDT功能的吗？为什么MDB会把TDT功能搞残了，不知道这是BUG还是什么。

但是MDB禁用以后，TDT功能就立即恢复工作，系统都没有重启，这是让我想不通的，希望是个BUG吧，或者WDATP 传感器自己有TDT组件取代了MD的TDT组件？这我不确定，需要以后有时间进一步确认。


不甘心的我再次重新开启MDB，结果好端端的TDT功能再次变成N\A了，这下子我真的不知道是啥情况了，我这两天再观察观察，看看是什么原因吧。
注意篡改防护，已经变成ATP级别了，普通方法无法关闭MDB了


本帖到这里，我吐槽一句，WDATP传感器还是跟七八年前一样，非常吃CPU，我这边会被WDATP吃掉半个核的CPU使用率，要知道我这是二十线程的桌面级处理器啊，换成H或者U处理器，我是不敢想了。

体验一天下来，我这设备算得上是主流性能了，可还是感觉响应速度慢了一些，所以WDATP传感器是真的影响系统速度，不要说我设备太差，我这新设备除了是核显，其他方面真的是主流了，绝对不差，而且比大多数笔记本强大很多。

还有就是不关闭Web内容筛选的情况下，MDB是真的非常卡网页访问速度，关闭会好一些，但好像还是有一点点的影响，反正我是不推荐开这个功能的，意义不大。

最后总结一下，如果需要自动化的EDR功能，不怕影响一点系统响应速度，那绝对推荐使用MDB，毕竟一个月才22￥，这价格买到自动化的EDR功能，是真的非常非常划算了。
不过ASR攻击面减少规则和反病毒规则也就是云等级设置，这些都是需要转到intune的端点安全中设置，这也算得上是有一点麻烦，还不如本地组策略或者PowerShell命令设置简单，所以MDB只是为MD提供EDR和自动化攻击阻断以及漏洞管理，行为分析加强，其他并没有太多提升。（是不是可以说MD已经很强了，大部分MDB功能都有了）

PS：这个帖子可能是我近期的最后一个大型帖子了，后续或许会有新的帖子，但由于我个人时间关系，可能不会写这种大型的体验帖子，不过我依然与卡饭同在，饭友们有什么问题也可以问我，我看到以后会回复的，最后的最后，感谢各位饭友们的支持，谢谢!

郢都离人

我挺喜欢这个ui的说实话

驭龙

郢都离人 发表于 2024-8-26 18:21
我挺喜欢这个ui的说实话

其实就是一个网站而已，没有本地Ui，哈哈

freeyang

补充一下，真需要Web Content Filtering的家庭直接用DNS过滤就行了，也不会有啥卡网问题好担忧的。

ANY.LNK

问个问题，龙大有没有遇到过这个“安全建议”加载不出来的情况啊？

我的一直加载不出来，许多东西又按照提示转到这里操作了，结果加载不出来

驭龙

ANY.LNK 发表于 2024-10-19 22:52
问个问题，龙大有没有遇到过这个“安全建议”加载不出来的情况啊？

我的一直加载不出来，许多东西又按照 ...

我之前的安全建议可以看到的，一大堆建议，但大多数都被我忽略了，没有不能显示的情况，不过MDB门户经常更新，现在的情况我不清楚，因为我的MDB过期了