微软陆续强化终端安全软件Defender高端威胁防护(Defender ATP)的功能。本周又宣布加入端点侦测与回应封锁模式(EDR in block mode)功能,以阻断企业设备上的恶意行为。
这项功能主要用于发生黑客入侵事件后,以背景执行模式扫描设备上的恶意活动、恶意软件或其他有害对象。启动这项功能时,Defender ATP即会在侦测到恶意行为时,进行封锁和修复。
EDRin block mode使用Defender ATP的机器学习引擎,来分析恶意程序的行为。它可以即时侦测和封锁威胁行动,即使恶意程序已经开始执行也没问题,有助于更及时防范威胁,减少人为操作的麻烦和时间延误。微软指出,今年4月EDR in block mode已经成功找出或阻挡NanoCore RAT攻击。
EDRin block mode目前以不公开预览版开放测试。EDR in block mode可通过Defender Security Center中的“设置”、“高端”功能启动、关闭。但这项功能无法从注册表密钥、Intune或群组政策控制。
EDRin block mode只提供给Windows 10或是Server 2016以上,或是具备Microsoft 365 E3/ E5授权的机器。机器上的Microsoft Defender Antivirus杀毒软件也需升级到最新版本,且打开云计算防护功能。