本帖最后由 驭龙 于 2025-11-20 19:06 编辑
本帖有可能会长期更新MD版本开发的最新情报,虽然有版本信息,但没封装好的安装包,所以只提供版本号和大概更新日期
2025年11月20日,更新内容:
2025 年 10 月 (平台:4.18.25100.9008 |引擎:1.1.25100.9002)
安全智能更新版本: 1.441.131.0
发布日期: 2025 年 11 月 6 日 (引擎) /2025 年 11 月 17 日 (平台)
平台: 4.18.25100.9008
引擎: 1.1.25100.9002
支持阶段:安全和关键更新
新增功能
修复了网络检查服务稳定性问题:当内存使用量超过阈值时,服务现在会正确重启,从而防止服务停滞在故障或挂起状态。
减少反恶意软件服务的启动延迟:通过删除 Defender 服务对核心服务启动的依赖关系来缩短 Defender 服务启动时间。 此更改可提高整体系统启动性能。
修复了 x86 设备上的 Defender 设置崩溃:更正了在 32 位计算机上应用 Defender 配置设置时导致系统崩溃的问题。
修复了 Defender 启动问题:处理无效的攻击面减少规则排除项时,平台不再崩溃。
减少系统资源使用量:Defender 不再生成过多的数据丢失防护 (DLP) 导致磁盘活动过高的日志,从而提高整体性能和稳定性。
==================================================
2025年10月24日,更新内容:
中文版更新日志,今天(2025年10月24日)才出
2025 年 9 月 (平台:4.18.25090.3009 |引擎:1.1.25090.3001)
安全智能更新版本: 1.439.345.0
发布日期: 2025 年 10 月 8 日 (引擎) /2025 年 10 月 21 日 (平台)
平台: 4.18.25090.3009
引擎: 1.1.25090.3001
支持阶段:安全和关键更新
新增功能
改进了服务启动行为:核心服务现在仅在必要时(例如,在成功更新平台期间)重新启动。 此更改允许组织在服务已正确运行时避免不必要的重启。
改进了 RPC 服务的稳定性:添加了跨多个 RPC 终结点的输入验证,以防止格式不正确的数据导致崩溃,从而解决了报告的安全漏洞。
修复了威胁排除处理:解决了基于严重性排除可能导致引擎错误识别威胁、可能跳过高严重性检测的问题。
恢复了网络文件访问的性能优化:修复了导致文件作速度变慢的回归问题,例如网络共享的 robocopy。 修复程序包括重新引入逻辑,以便在启用受控文件夹访问时跳过对非本地文件进行不必要的检查。
2025年7月23日,更新内容:June-2025 (Platform: 4.18.25060.7 | Engine: 1.1.25060.6)
Security intelligence update version: 1.433.2.0
Release date: July 22, 2025 (Engine) / July 22, 2025 (Platform)
Platform: 4.18.25060.7
Engine: 1.1.25060.6
Support phase: Security and Critical Updates
What's new
Added filtering to improve scan stability and prevent engine crashes
Additional performance improvements to prevent concurrent scans. This change ensures that if a quick or full scan is already running, no additional quick or full scan scans are initiated from MpCmdRun or Powershell (Start-Scan).
Resolved the issue where subfolder exclusions were not being honored in Microsoft Defender Antivirus scans related to non-Microsoft SIEM solutions. This fix ensures that specified subfolders are now correctly excluded from scans, preventing unnecessary detections and improving overall system performance.
2025年6月16日,更新内容:
2025 年 5 月 (平台:4.18.25050.5 |引擎:1.1.25050.6)
安全智能更新版本: 1.431.19.0
发布日期: 2025 年 6 月 13 日 (引擎) / 2025 年 6 月 13 日 (平台)
平台: 4.18.25050.5
引擎: 1.1.25050.6
支持阶段:安全和关键更新
新增功能
Windows 多级 SKU 现在已正确分类为客户端 SKU,用于签名版本控制
EnableDynamicSignatureDroppedEventReporting配置现已在 Intune (请参阅事件 ID 2011)
现在,Windows 服务中的 设备控制 筛选器驱动程序的显示名称和说明已正确显示
改进了内核驱动程序的性能
在 高网络 利用率期间与数据包丢失相关的网络保护性能的改进
服务关闭期间网络保护的可靠性改进
要包括ScanOnlyIfIdle和扫描优先级的扩充事件 ID 1000
改进了设备控制 Windows 门户 设备 (WPD) 文件资源管理器中的设备发现。 (有关设备控制的详细信息,请参阅 设备控制策略示例和方案。)
解决了签名发布与签名安装日期和时间之间的 设备运行状况报告 差异
扫描具有扩展属性的文件/文件夹时的性能改进
改进了 Defender 内核驱动程序的可靠性,以避免出现过多的磁盘输入/输出时崩溃
向 Core Service 1DS 管理器遥测模块添加了指数回退支持,以解决内存消耗和 DNS 泛洪问题
这次的更新算得上是重磅更新了,N年不怎么强化的内核驱动和防御驱动都强化了,值得拥有。
另外,顺便一提,25060版本会添加新的功能模块,虽然是防数据丢失的企业级功能,跟个人用户关系不大,但这也算得上是比这次驱动更新更难得的大更新了
=============================================
2025年4月15日,更新内容:
本帖快两个多月没更新了,大家可能以为是我忘记本帖了,实际上是没有值得更新的内容,因为25030.2版本我用一个多月了,没啥变化,我就没啥说的,但今天Microsoft发布了MD 4.18.25040.1版本,终于是有可以说的新内容了。
不废话,先上版本截图
接下来是如标题上说的那样,新增MDE诊断引擎模块MdeDiag.dll,Microsoft Defender for Endpoint Diagnostic Engine文件,也就是Microsoft Defender for Endpoint诊断引擎模块。
它在没有MDE部署的情况下,没有被MsMpEng.exe核心进程加载,应该是在部署MDE以后,来诊断MDE状态的功能模块。
该MdeDiag文件会收集本地MD系和系统安全状态等设置详细信息,然后反馈给MDE云控制台门户,让管理员了解这台设备的安全状态和MD信息,以便处理MDE的异常状态,应该是为针对EDR杀手文件准备的应对方案。
当然,MdeDiag具体的功能还是等官方正式版发布以后,才能确认更多的相关信息。
比较可惜的是MdeDiag跟MD免费版的安全功能没啥关系,所以这次更新看似是非常重要,可对我们普通用户来说毫无用处。
今天就这样吧,我们在下一次MD更新重要内容时,再见。
=========================================================
2025年2月18日,更新内容:
相对于之前的25010版本,这次的25020版本几乎没有什么大变化,当然现在是预览版阶段,还没有到达BETA版本,目前只是发现KSLD驱动从之前24110版本更新到25011版本,其他变化不大。
版本信息:
KSLD驱动版本信息:
目前只有这些最新消息,其他内容,以后我有发现再更新。
===========================================================
2025年1月30日,更新内容:
泪奔了,四个月没更新的MP引擎,终于从24090.11更新到25010.6版本了,遗憾的是与SAC冲突还是没解决,依然没有写入监控,但扫描已经恢复正常,可正常触发零容忍级别的云查杀,清理病毒也不会出现无法删除的情况,总之看到希望了。
25010.6的MP引擎版本截图
检测威胁和隔离样本功能已恢复,跟SAC功能的冲突有所缓解,可惜写入监控还是不灵。
另外25010引擎已经不再生成KSLD驱动,因为25010平台自带KSLD驱动,内部变化应该不小,这就是沉寂四个月后的大爆发吗?
这次KSLD更新最大的变化是TDT的筒仓类型(TDTSiloType)发生变化,我的设备之前启用TDT的状态如下:
- TDTCapable : Supported
- TDTMode : rsw
- TDTSiloType : E
- TDTStatus : Enabled
- TDTTelemetry : Disabled
现在更新25010平台和引擎以后,TDTSiloType的状态从之前的E变成了S,如下:
- TDTCapable : Supported
- TDTMode : rsw
- TDTSiloType : S
- TDTStatus : Enabled
- TDTTelemetry : Disabled
更新之前,TDT遥测是E模式
BEGIN TDT(E) telemetry
Instance:8497383994442402385
NotifyEvent:{"status":{"code":4,"description":"set_configuration status notification","state":"inactive","timestamp":"1738216453","platform_info":{"cpu_vendor":"GenuineIntel","cpu_brand":"Intel(R) Core(TM) i5-14500","cpu_family":"6","cpu_model":"191","cpu_stepping":"2","perfmon_version":"5","pt":true,"intel_gpu":true,"gpu_driver_description":"Intel(R) UHD Graphics 770","gpu_driver_version":"32.0.101.5542","perfmon_freeze":true,"os_info":"26100 (Windows 10 Enterprise)","tdt_version":"4.7.4.339"},"return_code":0,"detector_name":"rsw","profile_name":"tdt_rsw_g304x","profile_date":"2024-10-08","eof":null}}
Timestamp:01-30-2025 05:54:13
END TDT(E) telemetry
更新以后,TDT遥测变成S模式:
BEGIN TDT(S) telemetry
Instance:6660167746798471753
NotifyEvent:{"status":{"code":4,"description":"set_configuration status notification","state":"inactive","timestamp":"1738216933","platform_info":{"cpu_vendor":"GenuineIntel","cpu_brand":"Intel(R) Core(TM) i5-14500","cpu_family":"6","cpu_model":"191","cpu_stepping":"2","perfmon_version":"5","pt":true,"intel_gpu":true,"gpu_driver_description":"Intel(R) UHD Graphics 770","gpu_driver_version":"32.0.101.5542","perfmon_freeze":true,"os_info":"26100 (Windows 10 Enterprise)","tdt_version":"4.7.4.390"},"return_code":0,"detector_name":"rsw","profile_name":"tdt_rsw_g304x","profile_date":"2024-10-08","eof":null}}
Timestamp:01-30-2025 06:02:13
END TDT(S) telemetry
翻日志的我发现S级的TDT遥测,好像有监控某些程序启动,看米忽悠的崩铁启动时,TDT的S模式,就进行检测了,之前的E模式,我20MB的日志中没有查到有监控米忽悠的程序。
BEGIN TDT(S) telemetry
Instance:6032581065956178276
NotifyEvent:{"status":{"code":14,"description":"BENE dynamic throttled process","state":"active","timestamp":"1738217249","tdt_version":"4.7.4.390","process_path":"C:\\PROGRAM FILES\\MIHOYO LAUNCHER\\GAMES\\MIHOYO\\STAR RAIL GAME\\STARRAIL.EXE","pid":2416,"bene":{"version":"1.0","filter":"true","directory_type":"restricted","authenticode_check":true,"install_time":196,"running_time":7},"eof":null}}
Timestamp:01-30-2025 06:07:29
END TDT(S) telemetry
具体的变化,我暂时还没有观察,因为我也是刚刚才更新到25010引擎的,虽然之前用了几天25010平台,但没相同版本的引擎是无法发挥出最新版本的完整功能,如有最新发现,我在更新本帖。
=================================================
2025年1月24日,更新内容:
最新消息,MD平台版本出现预览版4.18.25010.5,我这边已经成功更新,大家耐心等待新版本正式推送吧,因为安装包没有数字签名,我就不发了。
截图为证
之前发现的新文件MpRecovery不知所踪,没活到正式版发布吗?
啥,MD被动模式,KSLD驱动也常驻系统了,这是干啥,会不会影响第三方调用TDT功能啊,你这是要干啥啊
KSLD驱动常驻系统内核。
MD显示TDT状态不可用。
我可怜的ESET,不知道还能不能愉快的调用TDT了,毕竟人家MD的KSLD是内核级的TDT,我哭了,昨天才安装的EES 12啊
================================
现在最新测试版的版本号,注意defender的大版本号是5.X版本哟。
这最新版本的测试版本上出现一个MpRecovery的新文件,不知道是版本更新还原功能,还是威胁回滚还原功能,进一步消息要等一个月后正式版发布才能有相关信息。
MD 4.18.25010文件截图
还有就是TDT的支持驱动KSLD以后可能直接安装在系统上,不再是由引擎释放生成了,版本是24110的驱动。
注意:本帖的相关信息非微软官方消息,属于小道消息,准确性并不高,而且信息源不稳定,很有可能随时断更,如有错误或者断更,请各位多多包涵。
|
发表于 2025-1-21 01:06:16
楼主
