安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
微软增加了企业Windows 10篡改保护控件
2020-02-20 09:22:12 【

微软昨日宣布,Microsoft Defender ATP威胁和漏洞管理已添加了对Windows 10篡改保护功能的支持,以获取有关组织中暴露的计算机的其他信息。

微软说:“现在,在“威胁与漏洞管理(TVM)”的“安全建议”部分中,SecOps和安全管理员可以看到一项建议,以启用防篡改功能,然后可以了解有关该建议的更多信息并采取相应措施。”

“这使安全团队可以更清楚地了解有多少台计算机未启用此功能,可以监视随时间的变化以及启用该功能的过程。”

TVM已于2019年4月在Microsoft Defender ATP门户中公开预览发布,它为管理员和SecOps团队提供与事件调查,端点漏洞以及构建过程中机器漏洞上下文相关的实时端点检测和响应(EDR)见解。 -在修复过程中。

微软最初 于2019年3月宣布为企业客户的Microsoft Defender ATP 添加防篡改功能

防篡改是1903版中引入的Windows 10安全功能,可防止恶意软件和威胁行为者禁用或更改旨在阻止其破坏设备或渗透网络的安全设置。

适用于更多Windows 10家庭和企业用户

该功能现在可在更多Windows 10版本中使用,包括最新版本1709、1803、1809、1903和1909。

虽然允许家庭用户通过Windows安全设置区域中的“病毒和威胁防护”选项卡切换防篡改功能,但对于企业用户,也可以“通过Intune管理门户集中管理此功能”。

即使企业用户也可以使用与家庭用户相同的方法来启用防篡改功能,组织安全团队的管理员也可以从Microsoft 365设备管理门户中的Microsoft Intune启用它。

在Intune的帮助下,组织的SecOps团队和管理员可以通过转到设备配置-配置文件 > 创建配置文件 > 端点保护,整个组织或基于设备类型或用户组启用防篡改  功能,如下所示。



阻止安全绕过

Microsoft Defender ATP威胁和漏洞管理受到支持,可以为SecOps团队和管理员提供启用了防篡改功能的计算机的概况,可以在需要的地方切换它,并密切关注随时间的变化。

说篡改保护是防止安全绕过的重要工具,这是一种轻描淡写的说法因为  过去曾经试图绕过Windows Defender以获得对受感染设备的持久性,安全研究人员已经观察到了TrickBotGootKit和  Nodersok Trojan等危险恶意软件  


但是,在Windows 10设备上启用防篡改功能将自动阻止或重置任何更改Windows Defender或Windows安全设置的尝试,从而阻止了破坏Windows内置安全保护的恶意尝试。

“要在TVM中查看篡改保护状态,请转到安全建议页面并搜索篡改,” Microsoft 解释说

“在结果列表中,您可以选择“ 打开防拆保护”。它将打开弹出窗口,以便您可以了解更多信息,还可以从弹出屏幕中看到导出选项,以获取公开的设备列表。”



挖掘篡改企图

“破坏企图通常表明更大的网络攻击。别有用心的人企图更改安全设置,以此来坚持和住宿未被发现,”微软解释说

当攻击者(恶意软件或恶意本地用户)试图破坏启用了防篡改功能的系统上的Windows安全性或Windows Defender设置时,组织的Microsoft Defender安全中心将自动发出警报。

这使安全管理员可以更仔细地检查这些事件,以查看组织网络上潜在的目标计算机,并在需要时采取补救措施。

微软补充说:“使用Microsoft Defender ATP中的端点检测和响应以及高级搜索功能,您的安全运营团队可以调查和解决此类尝试。”


要为您的组织启用防篡改功能,您必须具有适当的权限,例如,全局管理员,安全管理员或分配给组织的安全操作团队。


您的组织还必须满足所有这些要求:

•您的组织必须具有Microsoft Defender ATP E5(包含在Microsoft 365 E5中)。
•您的组织使用Intune来管理设备。(需要Intune许可证; Microsoft 365 E5中包含此许可证)
•Windows计算机必须运行Windows 10 OS 1709、1803、1809或更高版本。
•您必须使用Windows安全性并将安全性情报更新为版本1.287.60.0(或更高版本)。
•您的计算机必须使用版本4.18.1906.3(或更高版本)的反恶意软件平台和版本1.1.15500.X(或更高版本)的反恶意软件引擎。



】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇关于Apache Tomcat存在文件包含漏.. 下一篇关于微软多个安全漏洞的通报CVE-2..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800