适用于:
- Microsoft Defender 防病毒
- 个人Microsoft Defender
平台:
- Windows 11、Windows 10
已知限制:
- Intel TDT 不支持指定为服务器的处理器。
- 目前不支持多级虚拟化。
- 不支持Windows Server工作负荷。
- 由于 Intel Xeon 处理器不支持 Intel TDT 功能,因此不支持在 Xeon 处理器上运行的 Windows 客户端。
Microsoft Defender防病毒 (MDAV) 和 Intel 威胁检测技术 (TDT)
下表显示了 intel TDT 技术Microsoft与 Intel 协作,以提供安全性,同时平衡性能:
| 自 | Intel TDT 技术 | Intel 威胁检测技术 (TDT) |
|---|---|---|
| 2018 | Intel TDT - 加速内存扫描 (AMS) | Intel 集成图形第六代核心 (大约 2015) 或更高版本的处理器系列,在笔记本电脑、平板电脑和台式机系统上运行。 |
| 2021 | Intel TDT - 加密劫持检测器 | Intel 第六代核心 (大约 2015) 或更高版本的处理器系列,在笔记本电脑、平板电脑和台式机系统上运行。 |
| 2022 | Intel TDT - 勒索软件检测器 | Intel 第八代核心版或更高版本的处理器系列。 |
Intel 威胁检测技术 (TDT) - 加速内存扫描 (AMS) : 引入了额外的内存扫描功能,用于检测中央处理单元 (CPU) 上成本高昂的无文件攻击,然后将其卸载到集成的图形处理器单元 (集成的 GPU) 。 两个好处是:
- 降低 CPU 消耗
- 减少片上系统 (SoC) 功耗,从而延长笔记本电脑和平板电脑的电池使用时间
Intel 威胁检测技术 (TDT) - 加密劫持: 通过使用 Intel 中央处理单元 (CPU) 性能监视单元 (PMU) ,并卸载到集成的图形处理器单元 (集成 GPU) ,以检测恶意软件代码执行 (指纹) 在运行时重复的数学作。 机器学习以最小的开销处理信号。
如何启用 Intel TDT AMS 或 Cryptojacking 集成?
默认情况下,Microsoft Defender防病毒正在运行时启用。
检测显示为什么?
常规Microsoft Defender防病毒事件 ID 1116。
哪种类型的攻击会有所帮助?
我们使用 Intel TDT - Cryptojacking 检测器来阻止各种加密劫持恶意软件。 以下 Coinminer 活动已成功检测并阻止使用 TDT 加密劫持检测器: YouTube 盗版软件视频提供三重威胁: Vidar 窃取者, LaPlasa Clipper, XMRig Miner
我们使用 Intel TDT 检测器识别滥用 Windows 二进制文件的 CryptoJacking 恶意软件实例 (lolbins) ,然后采用 Defender 行为监视来有效防止和阻止此类活动。 有关详细信息,请参阅 针对日益复杂的加密攻击者的基于硬件的威胁防御。