当今的威胁形势比以往任何时候都更加复杂。 这一新世界需要一种新的威胁防护、检测和响应方法。 Microsoft Defender防病毒以及内置于 Windows 11 中的许多其他功能都位于第一线,可保护客户免受当前和新出现的威胁。
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen 可防止网络钓鱼、恶意软件的网站和应用程序以及潜在恶意文件的下载。
SmartScreen 可通过以下方法确定某站点是否为潜在恶意网站:
- 分析访问的网页以查找可疑行为的迹象。 如果确定页面可疑,则会显示警告页面,建议谨慎
- 检查已访问站点,以获取所报告的钓鱼站点和恶意软件站点的动态列表。 如果找到匹配项,SmartScreen 会警告该网站可能是恶意的
SmartScreen 还会通过以下方式确定下载的应用或应用安装程序是否具有潜在的恶意:
- 检查已下载文件,以获取所报告的恶意软件站点和已知不安全的程序的列表。 如果找到匹配项,SmartScreen 会警告该文件可能是恶意文件
- 根据已知文件列表检查下载的文件。 如果文件属于危险类型且不为人知,SmartScreen 将显示警告警报
借助 Windows 11 中增强的钓鱼防护功能,SmartScreen 还会在用户将Microsoft凭据输入到潜在风险位置时发出警报,无论使用哪种应用程序或浏览器。 IT 可以自定义通过 Microsoft Intune[4] 显示的通知。 默认情况下,此保护在审核模式下运行,使 IT 管理员能够完全控制策略创建和执行方面的决策。
由于Windows 11已内置并已启用这些增强功能,因此用户从打开设备的那一刻起就具有额外的安全性。
了解更多信息
网络保护
虽然 Microsoft Defender Smartscreen 可与 Microsoft Edge 配合使用,但对于第三方浏览器和进程,Windows 11具有网络保护功能,可防范钓鱼欺诈、恶意软件网站和下载潜在恶意文件。
将网络保护与Microsoft Defender for Endpoint结合使用时,可以使用泄露指示器来阻止特定 URL 和/或 IP 地址。 还与 Microsoft Defender for Cloud Apps 集成,以阻止组织中未采取行动的 Web 应用。 使用Microsoft Defender for Endpoint的 Web 内容筛选基于类别允许或阻止访问网站。
了解更多信息
篡改防护
攻击(如勒索软件)试图禁用安全功能,例如防病毒保护。 恶意参与者喜欢禁用安全功能,以便更轻松地访问用户的数据、安装恶意软件或以其他方式利用用户的数据、标识和设备,而不必担心被阻止。 防篡改有助于防止此类活动。
使用篡改防护,可阻止恶意软件采取如下作:
- 禁用实时保护
- 关闭行为监视
- 禁用防病毒保护,例如扫描所有下载的文件和附件 (IOfficeAntivirus (IOAV) )
- 禁用云提供的保护
- 删除安全智能更新
- 禁用针对检测到的威胁的自动作
- 禁用存档的文件
- 更改排除项
- 禁用Windows 安全中心应用中的通知
了解更多信息
Microsoft Defender 防病毒
Microsoft Defender防病毒是所有版本的 Windows 10 和 Windows 11 中包含的下一代保护解决方案。 从打开 Windows 的那一刻起,Microsoft Defender防病毒会持续监视恶意软件、病毒和安全威胁。 除了实时保护外,还会自动下载更新,以帮助保护设备的安全并防止其受到威胁。 如果安装了另一个防病毒应用并处于打开状态,Microsoft Defender防病毒会自动关闭。 如果卸载其他应用,Microsoft Defender防病毒将重新打开。
Microsoft Defender 防病毒包括实时保护、基于行为保护和启发式防病毒保护。 这种始终启用的内容扫描、文件和进程行为监视以及其他启发式方法的组合有效地防止了安全威胁。 Microsoft Defender防病毒会持续扫描恶意软件和威胁,还会检测和阻止可能不需要的应用程序 (PUA) ,应用程序被视为对设备产生负面影响,但不被视为恶意软件。
Microsoft Defender防病毒始终启用保护与云提供的保护集成,这有助于确保即时检测和阻止新出现的威胁。 这种本地和云交付技术(包括高级内存扫描、行为监视和机器学习)的组合,在家庭和工作中提供屡获殊荣的保护。
了解更多信息
攻击面减少规则
攻击面减少规则有助于防止经常被滥用以破坏设备和网络的作和应用程序或脚本。 通过控制可执行文件和/或脚本的运行时间和方式,从而减少攻击面,可以减少组织的整体漏洞。 管理员可以配置特定的攻击面减少规则来帮助阻止某些行为,例如:
- 启动尝试下载或运行文件的可执行文件和脚本
- 运行经过模糊处理的脚本或其他可疑脚本
- 执行应用通常不会在日常工作中启动的行为
例如,攻击者可能尝试从 U 盘运行未签名的脚本,或者让 Office 文档中的宏直接调用 Win32 API。 攻击面减少规则可以限制这些类型的风险行为,并改善设备的防御态势。 为了全面保护,请遵循启用基于硬件的隔离的步骤
了解更多信息
受控文件夹访问权限
可以通过管理对文件夹的应用访问权限来保护特定文件夹中的重要信息。 只有受信任的应用可以访问受保护的文件夹,这些文件夹是在配置受控文件夹访问权限时指定。 通常,常用文件夹(例如用于文档、图片和下载的文件夹)包含在受控文件夹列表中。
受控文件夹访问权限适用于受信任的应用列表。 包含在受信任软件列表中的应用按预期工作。 将阻止未包含在受信任列表中的应用对受保护文件夹内的文件进行任何更改。
受控文件夹访问权限有助于保护用户的宝贵数据免受恶意应用和勒索软件等威胁的影响。
了解更多信息
Exploit Protection
Exploit Protection 自动将多种攻击缓解技术应用于作系统进程和应用。 Exploit Protection 最适用于 Microsoft Defender for Endpoint[4],它使组织可以在典型警报调查方案中详细报告 Exploit Protection 事件和块。 可以在单个设备上启用 Exploit Protection,然后使用策略设置将配置 XML 文件同时分发到多个设备。
当设备上有缓解时,操作中心将显示一条通知。 你可以使用公司的详细信息和联系人信息自定义通知。 还可以单独启用规则以自定义功能所监视的技术。
可以使用审核模式来评估 Exploit Protection 在启用后对组织的影响。 并 (SDP) 进行安全部署。
Windows 11提供了 Exploit Protection 的配置选项。 可以使用设备管理解决方案(如 Microsoft Intune[4] 或组策略)阻止用户修改这些特定选项。
了解更多信息