当今的威胁形势比以往任何时候都更加复杂。 这一新世界需要一种新的威胁防护、检测和响应方法。 Microsoft Defender防病毒,以及内置于 Windows 11 中的许多其他功能,可保护客户免受当前和新出现的威胁。
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen 可防止网络钓鱼、恶意软件的网站和应用程序以及潜在恶意文件的下载。
SmartScreen 可通过以下方法确定某站点是否为潜在恶意网站:
分析访问的网页以查找可疑行为的迹象。 如果确定页面可疑,则会显示警告页,建议谨慎。
检查已访问站点,以获取所报告的钓鱼站点和恶意软件站点的动态列表。 如果找到匹配项,SmartScreen 会警告该网站可能是恶意站点。
SmartScreen 还会通过以下方式确定下载的应用或应用安装程序是否具有潜在的恶意:
检查已下载文件,以获取所报告的恶意软件站点和已知不安全的程序的列表。 如果找到匹配项,SmartScreen 会警告该文件可能是恶意文件。
根据已知文件列表检查下载的文件。 如果文件属于危险类型且不为人所知,则 SmartScreen 会显示警告警报。
借助 Windows 11 中增强的钓鱼防护功能,SmartScreen 还会在用户将Microsoft凭据输入到潜在风险位置时发出警报,无论他们使用哪种应用程序或浏览器。 IT 可以自定义通过 Microsoft Intune[3] 显示的通知。 默认情况下,此保护在审核模式下运行,使 IT 管理员能够完全控制策略创建和执行方面的决策。
由于Windows 11已内置并已启用这些增强功能,因此用户从打开设备的那一刻起就具有额外的安全性。
了解更多信息
Microsoft Defender SmartScreen 文档库
网络保护
Microsoft Edge 通过 Microsoft Defender SmartScreen 提供内置保护。 Windows 11通过其网络保护功能将保护扩展到第三方浏览器和进程。 此功能有助于阻止对钓鱼网站、恶意软件、技术支持欺诈和恶意下载的访问。
与 Microsoft Defender for Endpoint 一起使用时,网络保护允许安全管理员定义入侵指示器以阻止特定 URL 和 IP 地址。 它还与 Microsoft Defender for Cloud Apps 集成,以防止访问组织中未经批准的 Web 应用程序。 此外,Microsoft Defender for Endpoint的 Web 内容筛选功能使管理员能够基于内容类别限制对网站的访问。
了解更多信息
网络保护库
Web 保护库
篡改防护
网络攻击(如勒索软件)会尝试禁用安全功能,例如防病毒保护。 恶意参与者禁用安全功能以安装恶意软件或以其他方式利用用户的数据、标识和设备,而不必担心被阻止。 防篡改有助于防止此类活动。
使用篡改防护,恶意软件无法执行以下作:
禁用实时保护
关闭行为监视
禁用与浏览器和其他应用的防病毒集成
禁用云提供的保护
删除安全智能更新
禁用针对检测到的威胁的自动作
禁用存档的文件
更改排除项
禁用Windows 安全中心应用中的通知
了解更多信息
篡改防护
Microsoft Defender 防病毒
Microsoft Defender防病毒是下一代保护解决方案,包含在支持终止后在扩展安全汇报 (ESU) 注册的所有Windows 11和Windows 10设备版本中。 Microsoft Defender防病毒持续监视恶意软件、病毒和安全威胁。 它会自动下载更新,以帮助保护设备的安全并防止其受到威胁。 如果安装并打开其他防病毒应用,Microsoft Defender防病毒会自动关闭。 如果卸载其他应用,Microsoft Defender防病毒将重新打开。
Microsoft Defender 防病毒包括实时保护、基于行为保护和启发式防病毒保护。 这种始终启用内容扫描、文件和进程行为监视以及其他启发式方法的组合可缓解安全威胁。 Microsoft Defender防病毒会持续扫描恶意软件和威胁,并选择性地阻止可能不需要的应用程序 (PUA) 可能会对设备产生负面影响的非恶意软件应用程序。
Microsoft Defender防病毒的始终启用保护与云提供的保护集成,这有助于提供即时检测和阻止新威胁和新兴威胁。 这种本地和云交付技术(包括高级内存扫描、行为监视和机器学习)的组合,在家庭和工作中提供屡获殊荣的保护。
了解更多信息
Windows 中的Microsoft Defender防病毒概述
攻击面减少规则
攻击面减少规则有助于防止恶意参与者经常用来破坏设备和网络的作和应用程序或脚本。 通过控制可执行文件和脚本的运行时间和方式,可以减少组织的攻击面和整体漏洞。 管理员可以配置特定的攻击面减少规则来帮助阻止某些行为,例如:
启动尝试下载或运行文件的可执行文件和脚本
运行经过模糊处理的脚本或其他可疑脚本
执行应用通常不会在日常工作中启动的行为
例如,攻击者可能尝试从 U 盘运行未签名的脚本,或者让 Office 文档中的宏直接调用 Win32 API。 攻击面减少规则可以限制这些类型的风险行为,并改善设备的防御态势。 若要进行全面保护,请遵循启用基于硬件的隔离的步骤。
了解更多信息
攻击面减少
受控文件夹访问权限
受控的文件夹访问有助于保护有价值的数据免受恶意应用和勒索软件等威胁的影响。
可以通过管理对文件夹的应用访问权限来保护特定文件夹中的重要信息。 只有受信任的应用可以访问受保护的文件夹,在配置受控文件夹访问权限时会指定这些文件夹。 通常,常用文件夹(例如用于文档、图片和下载的文件夹)包含在受控文件夹列表中。
受控文件夹访问权限适用于由系统管理或由你手动选择的受信任应用列表。 受信任应用列表中包含的应用可以正常读取和写入受保护文件夹中的文件。 未包含在受信任列表中的应用无法修改或删除受保护文件夹中的文件。
了解更多信息
受控文件夹访问权限
Exploit Protection
Exploit Protection 自动将多种攻击缓解技术应用于作系统进程和应用。 Exploit Protection 最适用于 Microsoft Defender for Endpoint[3],它为组织提供了针对 Exploit Protection 事件和块的详细报告,作为典型警报调查方案的一部分。 可以在单个设备上启用 Exploit Protection,然后使用策略设置将配置 XML 文件同时分发到多个设备。
当设备上遇到缓解措施时,作中心会显示一条通知。 你可以使用公司的详细信息和联系人信息自定义通知。 还可以单独启用规则以自定义功能所监视的技术。
可以使用审核模式评估 Exploit Protection 在启用后对组织的影响,然后通过安全部署实践 (SDP) 推出更新。
Windows 11提供了 Exploit Protection 的配置选项。 可以使用设备管理解决方案(如 Microsoft Intune[3] 或组策略)阻止用户修改这些特定选项。
了解更多信息
保护设备免受攻击