入正&展示 Microsfot Defender For Endpoint plan2

Fadouse

今天下午闲的没事看了下能不能单买MDE P2，结果发现还真可以
而且价格不算特别贵 一台用户一个月5.2美金




微软在文档里说MDE P2订阅是 per user且一个user可以同时并行运行5个设备。
这点非常重要，只要在不同的设备上登入同一个你分配license的微软工作账号，就可以同时在5台设备上部署MDE（实际测试确实可以）
也就是1.04 美金一台设备一个月，可谓是性价比非常高了


需要注意的一点是，在购买后可能不能立即使用（微软不知道在干啥）
在购买订阅并分配的28小时后，安全与合规性（security center）终于可以使用了
引用隔山打空气的一句：微软的东西要随时做好拉大的准备，做的好是情分 做的烂是本分



在部署设备前，首先需要添加策略 Endpoints->Configuration Management->Endpoint Security Policies。现在的MDE支持在安全与合规性直接配置ASR和常规配置（终于不用在intune和security center来回切了）


部署设备的脚本 Settings->Endpoints->Device management->Onboarding 中下载部署脚本。部署设备后可能需要等待1天左右才能被MDE注册管理。
刚部署的：

一天过后：

主力机的配置是超级舰队Elastic + Sentinelone + MDE(EDR Block Mode)
*EDR Block Mode 和 Automated investigation and response (AIR) 仅限 MDE P2订阅才有

所以相关组件加在一起，CPU典型负载1% + 内存2.8G（ES的组件贡献了1.6G）
由于MDE和Elastic都是基于ETW和内核回调实现的检测，所以并不会和S1有兼容性问题。
只有S1设有破坏性钩子（inprocessclient64.dll）但并不影响整体流畅性。


EDR Block Mode的占用也不算大，作为自动化兜底+威胁情报+漏洞扫描来说非常不错。
没想到MDE 的EDR Block mode也会拦截静态动态威胁，且占用比正常模式的MDE占用低非常多，估计是类似卡巴的启动时扫描（？)


且MDE P2的AIR会在警报严重级别 ≥ Medium 且置信度 ≥ Medium 时触发。
AIR相应的结果将会在Action Center -> History 中呈现，以下是一个典型的报告（？


漏洞管理

ANY.LNK

大概一个月人民币40吧，以及……可以麻烦看看你那边EDR in block mode以及进程注入、安全软件篡改检测能正常生效吗？

Fadouse

ANY.LNK 发表于 2025-6-22 20:58
大概一个月人民币40吧，以及……可以麻烦看看你那边EDR in block mode以及进程注入、安全软件篡改检测能正 ...

我security center好了就去测试（）

驭龙

其实MDB性价比最好，不过MDE P2的功能更全面，算得上是MDE的高配版了，期待你的最新测试

wohaofan1200

恭喜入正！感觉对初级用户不友好，比方说部署和维护复杂

小小龙

体验怎么样？感觉卡吗？

djxjzkz

这个和卡巴之类的比有什么优势？

allentong

40元一个月其实价格还行。MDB\MDE-P1\P2都是按用户分配许可证，一个用户可以安装5台设备的

Fadouse

驭龙 发表于 2025-6-22 22:42
其实MDB性价比最好，不过MDE P2的功能更全面，算得上是MDE的高配版了，期待你的最新测试

根据坛友的提醒和网上的搜索，MDE的一个License似乎可以安装在5台设备上。
这样看来，性价比似乎比MDB更高？

驭龙

Fadouse 发表于 2025-6-24 12:18
根据坛友的提醒和网上的搜索，MDE的一个License似乎可以安装在5台设备上。
这样看来，性价比似乎比MDB更 ...

并不是的，一个四十多的P2还是一个端点啊

Fadouse

驭龙 发表于 2025-6-24 13:43
并不是的，一个四十多的P2还是一个端点啊

感谢纠正，我还以为微软良心大发了（

驭龙

Fadouse 发表于 2025-6-24 13:58
感谢纠正，我还以为微软良心大发了（

购买的时候，显示是一个许可证一个月40元，理论上是不允许同时运行多个端点的，但是一个许可证应该是可以安装在多个设备上的，只是能使用的只有一个端点


不过在官方申请的试用版，给的都是25端点的授权，那种授权可以一口气安装25个端点，那是真大方啊

Fadouse

驭龙 发表于 2025-6-24 13:43
并不是的，一个四十多的P2还是一个端点啊

但是我看https://learn.microsoft.com/en-us/defender-endpoint/defender-endpoint-subscription-settings?tabs=oneplan


微软这个订阅到底是设备还是用户啊（

驭龙

Fadouse 发表于 2025-6-24 14:49
但是我看https://learn.microsoft.com/en-us/defender-endpoint/defender-endpoint-subscription-setting ...

查看许可证使用情况
许可证使用情况报告是根据设备上的登录活动估算的。 Defender for Endpoint 计划 2 许可证是每个用户，每个用户最多可以有五个并发的已载入设备。 若要详细了解许可条款，请参阅 Microsoft许可。

难道不是说一个许可证可以安装五个设备上，但实际上运行的始终保持一个？例如office 个人版也是五个设备的单用户授权啊

Fadouse

驭龙 发表于 2025-6-24 15:00
难道不是说一个许可证可以安装五个设备上，但实际上运行的始终保持一个？例如office 个人版也是五个设 ...

我试试看给虚拟机也登入工作账户后部署mde
如果订阅没超就是可以共用（

驭龙

Fadouse 发表于 2025-6-24 15:07
我试试看给手机也登入工作账户后部署mde
如果订阅没超就是可以共用（

实际情况，我也没测试，之前用的MDB是25端点的，所以等你测试看看结果，另外两个端点登录的话，应该是不同时上线也是应该可以用的，只是不能两个设备同时在线工作

Fadouse

驭龙 发表于 2025-6-24 15:48
实际情况，我也没测试，之前用的MDB是25端点的，所以等你测试看看结果，另外两个端点登录的话，应该是不 ...

我在虚拟机做了测试，确实可以同时在线多台设备，只是需要登入的你分配license的微软工作账号
并且没有超出订阅限制

驭龙

Fadouse 发表于 2025-6-24 16:06
我在虚拟机做了测试，确实可以同时在线多台设备，只是需要登入的你分配license的微软工作账号
并且没有 ...

小心操作吧，你第一个截图显示授权就是一个，而且MDE这东西设置都延迟几个小时，同时在线还真不好说

Fadouse

驭龙 发表于 2025-6-24 16:25
小心操作吧，你第一个截图显示授权就是一个，而且MDE这东西设置都延迟几个小时，同时在线还真不好说

多谢提醒现在license页面更新了，使用一个license，同时在线两个设备

驭龙

Fadouse 发表于 2025-6-24 16:27
多谢提醒现在license页面更新了，使用一个license，同时在线两个设备

如果微软真的睁一只眼闭一只眼，不封号的话，那确实是挺划算的