Резюме

Windows Defender е програма за антипродукция, която защитава вашия компютър от вреден и нежелан софтуер. Той има два режима на работа: защита в реално време и сканиране. Защитата в реално време работи на заден план и открива шпионски софтуер, опитвайки се да се инсталира, докато сканирането открива шпионски софтуер, който вече е инсталиран на компютъра. Windows Defender използва файлове с дефиниция, за да актуализира Spyware Signatures и включва функция за автоматична актуализация. Software Explorer е ключов компонент на Windows Defender, тъй като проследява състоянието на всички работещи програми.

Ключови точки

1. Windows Defender е програма за антипродукция, която предпазва вашия компютър от вреден софтуер.

2. Режимът на защита в реално време открива шпионски софтуер, опитвайки се да се инсталира, докато режимът на сканиране открива шпионски софтуер, който вече е инсталиран на компютъра.

3. Spyware се открива въз основа на нейния подпис, който включва начина, по който се опитва да се инсталира, файлове, които създава или модифицира, и ключовете на регистъра модифицират или създават.

4. Windows Defender използва файлове с дефиниция, за да актуализира Spyware Signatures и включва функция за автоматична актуализация.

5. Software Explorer проследява състоянието на всички работещи програми и помага да се открият дейностите на злонамерените програми.

Въпроси и отговори

1. Може ли Windows Defender да защити компютъра ми от вреден софтуер?

Да, Windows Defender е програма за антипродукция, която предпазва вашия компютър от вреден и нежелан софтуер.

2. Какви са двата режима на работа на Windows Defender?

Двата режима на работа на Windows Defender са защита в реално време и сканиране.

3. Какво прави режимът на защита в реално време?

Режимът на защита в реално време открива шпионски софтуер, който се опитва да се инсталира на вашия компютър. Той работи на заден план, за да защити вашия компютър.

4. Какво прави режимът на сканиране?

Режимът на сканиране се опитва да намери шпионски софтуер, който вече се е инсталирал на вашия компютър. Той може да открие шпионски софтуер, който може да се е промъкнал покрай функцията за защита в реално време.

5. Как Windows Defender разпознава шпионския софтуер?

Windows Defender разпознава шпионския софтуер по своя подпис, който включва начина, по който се опитва да се инсталира, файлове, които създава или модифицира, и клавишите на регистъра, които променя или създава.

6. Как Windows Defender остава в течение с нов шпионски софтуер?

Windows Defender използва файлове с дефиниция, за да поддържа актуална информация за Spyware Signatures. Microsoft създава нови подписи за Windows Defender, за да се противопостави на нов шпионски софтуер и предоставя тези нови подписи на разположение за изтегляне.

7. Какво е Software Explorer?

Software Explorer е ключов компонент на Windows Defender. Той проследява състоянието на всички програми, които в момента работят на компютъра, и помага да се открият дейностите на злонамерените програми.

8. Как да имам достъп до Windows Defender?

За да получите достъп до Windows Defender, щракнете върху Старт, след това контролен панел, след това сигурност и най -накрая Windows Defender.

9. Как мога да активирам Windows Defender, ако е изключен?

Ако защитникът на Windows е изключен, ще видите предупредителен ред. Кликнете върху „Включване и отворете Windows Defender“, за да го активирате.

10. Какви са различните статуси в Windows Defender?

Различните състояния в Windows Defender са зелени (нормални), оранжеви (предупредителни) и червени (опасност). Състоянието показва текущото състояние на сигурността на вашия компютър.

11. Как мога да актуализирам дефинициите на Windows Defender?

Можете да актуализирате дефинициите на Windows Defender, като щракнете върху бутона „Проверете за актуализация“, предоставен в подкана за предупреждение, ако дефинициите са остарели.

12. Какво прави бутонът напред/назад в лентата с инструменти?

Бутоните напред/назад ви позволяват да навигирате в места, които вече сте посетили в Windows Defender.

13. Какво прави бутонът за сканиране?

Бутонът за сканиране започва бързо сканиране на вашия компютър, за да открие всеки шпионски софтуер.

14. Как мога да посоча типа сканиране в защитника на Windows?

Можете да посочите типа сканиране като бързо сканиране, пълно сканиране или персонализирано сканиране, като използвате опциите за сканиране.

15. Каква информация е достъпна на страницата на историята в Windows Defender?

Страницата за историята съдържа обобщение на цялата дейност на Windows Defender, включително откритите програми и предприетите действия. Той също така осигурява връзки за бърз достъп за разрешени артикули и карантирани артикули.

Може ли Windows Defender да открие злонамерен софтуер

Искам да пропуснете преамбюла? Отидете надясно на SQL SQL в края на тази статия.

Въвеждане на Windows Defender

Всички версии на Windows Vista включват Windows Defender. Windows Defender е програма за антипродукция, която защитава вашия компютър от вреден и нежелан софтуер. Подобно на целия софтуер Antispyware, Windows Defender се използва най -добре със софтуер за антивирус. Заедно програма за антипродукция и антивирусна програма могат да предпазят вашия компютър от повечето видове злонамерен софтуер.

Запознаване с Windows Defender

Подобно на антивирусния софтуер, Windows Defender има два режима на работа:

  • Защита в реално време
  • Сканиране

По подразбиране Windows Defender е конфигуриран да използва защита в реално време и да допълва това с ежедневни сканирания. Когато работи в режим на защита в реално време, Windows Defender работи на заден план и работи за откриване на шпионски софтуер, който се опитва да се инсталира. Когато работи в режим на сканиране, Windows Defender се опитва да намери шпионски софтуер, който тайно се е инсталирал на вашия компютър. Както защитата в реално време, така и сканирането са абсолютно от съществено значение, за да се гарантира, че компютърът е защитен от шпионски софтуер. Защитата в реално време може да защити компютъра от известен шпионски софтуер. Сканирането може да открие шпионски софтуер, който вече е инсталиран на компютъра или който може да се е подхлъзнал покрай функцията за защита в реално време.

Windows Defender разпознава шпионски софтуер по начина, по който се опитва да се инсталира, файловете, които се опитва да създаде или променя, ключовете на регистъра, които модифицира или създава, или всяка комбинация от тези елементи, които колективно се наричат ​​шпионски софтуер’с подпис. Шпионският софтуер понякога може да се изплъзне от защита в реално време, ако шпионският софтуер’s подпис е’t призна, както може да се случи, ако шпионският софтуер беше пуснат наскоро или наскоро модифициран, за да заобиколи откриването си.

Подобно на антивирусния софтуер, Windows Defender използва файлове с дефиниция, за да поддържа актуална информация за Spyware Signatures. Microsoft създава нови подписи за Windows Defender, за да се противопостави на нови шпионски и злонамерени софтуерни програми и предоставя тези нови подписи за изтегляне. Windows Defender включва функция за автоматична актуализация, която периодично проверява за актуализации, и можете ръчно да проверявате и за актуализации.

Един от ключовите компоненти в Windows Defender е Software Explorer. Както е описано в “Навигация на вашия компютър’S стартиращи, работещи и свързани с мрежа програми” Раздел В глава 6, Software Explorer проследява състоянието на всички програми, които в момента се изпълняват на компютъра. Можете да използвате софтуер Explorer за прекратяване на програма, за блокиране на входящи връзки към програма и за деактивиране или премахване на програма. Windows Defender използва софтуер Explorer, за да помогне за откриването на дейностите на злонамерените програми.

Стартиране и използване на Windows Defender

За да получите достъп до Windows Defender, щракнете върху Старт и след това щракнете върху Контролен панел. В контролния панел щракнете върху Сигурността и след това щракнете върху Windows Defender. Ако Windows Defender е изключен, вие’Вместо това ще видя предупредителен ред. Щракнете върху включване и отворете Windows Defender, за да активирате Windows Defender.

Началната страница на Windows Defender предоставя преглед на текущото състояние. Вие’Ще видя три цветни кодирани статуси:

Изображение от книга

  • Зелено (нормално) Ако Windows Defender’S Определенията са актуални и няма известен нежелан или вреден софтуер, инсталиран на компютъра, вие’Ще видя зелен (нормален) индикатор за състоянието, подобен на този, показан на фигура 13-18.
    Фигура 13-18: Състояние на гледане в Windows Defender
  • Оранжево (предупреждение) Ако дефинициите на Windows Defender са остарели и няма известен нежелан или вреден софтуер, инсталиран на компютъра, вие’Ще видя индикатор за състоянието на оранжев (предупреждение), който ви казва, че дефинициите на защитниците на Windows трябва да бъдат актуализирани. Вие’Ще мога да извлечете актуализации по интернет от уебсайта на Microsoft и да ги инсталирам автоматично, като щракнете върху бутона за проверка за актуализация, предоставен като част от предупреждението.
  • Червено (опасност) Ако сигурността на вашия компютър вероятно е компрометирана или има известен нежелан или вреден софтуер, инсталиран на компютъра, вие’Ще видя индикатор за състоянието на червен (опасност), който ви казва да предприемете действия за защита на компютъра си. Вие’Ще мога да стартирате сканиране или в карантина, открит шпионски софтуер, като използвате предоставените опции.

Лентата с инструменти в горната част на прозореца осигурява достъп до основните функции в Windows Defender. Отляво надясно лентата с инструменти има тези бутони:

  • Напред/назад Бутоните напред и обратно вляво от лентата с инструменти ви позволяват да навигирате в местоположенията, които сте’вече посетиха. Подобно на това, когато разглеждате мрежата, местоположенията ви’VE посетените се съхраняват в една история и можете да разгледате историята, като използвате бутоните напред и обратно.
  • У дома Показва началната страница на Windows Defender, показана на фигура 13-18.
  • Сканиране Стартира бързо сканиране на вашия компютър и показва сканирането на страницата на вашия компютър, което показва напредъка на сканирането.
  • Опции за сканиране Показва списък с опции, който ви позволява да определите типа сканиране като бързо сканиране, пълно сканиране или персонализирано сканиране. Вижте “Сканиране на компютъра за шпионски софтуер” Раздел по -късно в тази глава за повече информация.
  • История Показва страницата на историята. Тази страница съдържа обобщение на цялата дейност на Windows Defender според откритите програми и предприетите действия. Предвиждат се връзки за бърз достъп за разрешени артикули и карантина на артикули.
  • Инструменти Показва страницата на всички настройки и инструменти. Тази страница ви позволява да конфигурирате общи настройки, да показвате карантирани елементи, да получите достъп до софтуер Explorer, да прегледате разрешените елементи и други.
  • Windows Defender Помощ Показва помощна документация за Windows Defender.
  • Опции за помощ на Windows Defender Показва списък с опции, който ви позволява да показвате допълнителни помощни елементи, като например индексът за помощ и поддръжка на Windows.

Разделът за състоянието в долната част на началната страница предоставя подробности за общия статус на Windows Defender:

  • Последно сканиране Показва датата и часа на последното сканиране и вида на сканирането, като бързо сканиране или пълно сканиране.
  • График на сканиране Показва графика за автоматични сканирания, като всеки ден в 2:00 ч.
  • Защита в реално време Показва състоянието на защита в реално време, като например на.
  • Версия за дефиниция Показва версията, времето и датата на най -новия файл с дефиниции.

Когато работите с Windows Defender, основните действия, които сте’Ще искам да изпълня включване:

  • Конфигуриране на общи настройки.
  • Сканиране на компютъра за шпионски софтуер.
  • Проверка за актуализации.
  • Преглед или възстановяване на карантинни предмети.
  • Преглед или промяна на софтуерни програми, които разрешавате.
  • Изключване или включване на Windows Defender.

Конфигуриране на общи настройки

Общите настройки ви позволяват да изберете как искате да стартира Windows Defender. Можете да конфигурирате общи настройки, като следвате тези стъпки:

Изображение от книга

  1. Отворен Windows Defender.
  2. Щракнете върху инструменти и след това щракнете върху Опции.
  3. На страницата с опции, показани на фигура 13-19, са предоставени следните раздели с опции:
    • Автоматично сканиране Използва се за управление на автоматичните опции за сканиране и автоматично актуализиране. За да направите автоматично сканиране на Windows Defender, трябва да изберете квадратчето автоматично сканиране на моя компютър (препоръчително) и след това задайте честотата на сканиране, времето на деня и вида на сканирането. Ако искате Windows Defender да провери за актуализации преди сканиране, изберете Проверете за актуализирани дефиниции преди сканиране.
    • Действия по подразбиране Използва се за задаване на действието по подразбиране, което трябва да предприеме въз основа на нивото на предупреждение на открита шпионска програма. Spyware с високо ниво на предупреждение се счита за най -опасен и има най -голяма вероятност да нанесе щети на компютър. Spyware със средно ниво на предупреждение се счита за умерено опасен и има умерена вероятност да нанесе щети на компютър или извършване на неприятни/злонамерени действия. Шпионски софтуер с ниско ниво на предупреждение се счита за ниска опасност и е предимно неудобство. Ако активирате прилагане на действия върху открити елементи след сканиране при автоматично сканиране, Windows Defender извършва препоръчаното действие след завършване на автоматично сканиране. Елементите, маркирани игнорирани, се игнорират. Елементите, маркирани, премахнати се премахват и карантират. Елементите, маркирани с подпис по подразбиране, се обработват според настройката по подразбиране в подписа, свързана с шпионския софтуер. В повечето случаи подписът по подразбиране означава, че се отстраняват високите и умерени предупредителни елементи.
    • Опции за защита в реално време Използва се за включване на защита в реално време. Защитата в реално време използва редица агенти за сигурност, за да определи кои области на операционната система и кои компоненти получават защита в реално време в реално време. Всеки от тези агенти за сигурност може да бъде активиран или деактивиран индивидуално, като се използва предоставените квадратчета. Ако искате да получавате сигнали, свързани със защитата в реално време, можете да активирате предоставените опции за уведомяване.
    • Разширени опции Използва се за конфигуриране на усъвършенствани техники за откриване на шпионски софтуер. Тези опции ви позволяват да сканирате в архивите, за да откриете подозрителни файлове. Активирането на тези опции е особено важно за откриване на нов шпионски софтуер, скрит шпионски софтуер и софтуер, изпълняващи евентуално злонамерени действия.
    • Опции за администратор Използва се за уточняване дали Windows Defender е включен или изключен. Ако изчистите квадратчето Използвайте Windows Defender, Windows Defender спечели’t Осигурете защита срещу шпионски софтуер. Използва се и за уточняване дали нормалните потребители могат да извършват сканиране и да премахват потенциално нежелан софтуер. По подразбиране потребителите, които нямат права на администратор, могат да извършват сканиране и да премахват потенциално нежелан софтуер. Това е препоръчителната конфигурация.
    1. Щракнете върху Запазване, за да запазите всички промени, които сте’направено на конфигурацията.
      Фигура 13-19: Конфигуриране на общи настройки в Windows Defender

Сканиране на компютъра за шпионски софтуер

Windows Defender може да се използва за извършване на бързи сканирания, пълни сканирания и персонализирани сканирания. Бързите сканирания и пълните сканирания са лесни за иницииране:

  • За бързо сканиране, Windows Defender проверява областите на паметта, регистъра и файловата система, за която се знае, че се използва от шпионски софтуер за всеки нежелан или потенциално вреден софтуер. Можете да стартирате бързо сканиране, като щракнете върху бутона за сканиране в лентата с инструменти.
  • За пълно сканиране, Windows Defender извършва задълбочена проверка на всички области на паметта, регистъра и файловата система за всеки нежелан или потенциално вреден софтуер. Можете да стартирате пълно сканиране, като щракнете върху бутона за опции за сканиране в лентата с инструменти и изберете пълно сканиране.

Windows Defender показва напредъка на сканирането чрез отчитане:

  • Началното време на сканирането.
  • Общото количество време, прекарано в сканиране на компютъра досега (изминалото време).
  • Местоположението или артикулът, който в момента се изследва.
  • Общият брой на сканираните файлове.

Когато сканирането приключи, Windows Defender предоставя статистика за сканиране, както е показано на фигура 13-20.

Фигура 13-20: Извършване на сканиране с помощта на Windows Defender

За персонализирано сканиране, Windows Defender проверява избраните области на файловата система за всеки нежелан или потенциално вреден софтуер. Започвате персонализирано сканиране, като следвате тези стъпки:

Изображение от книга

  1. Отворен Windows Defender.
  2. Кликнете върху бутона за опции за сканиране и след това изберете персонализирано сканиране.
  3. На страницата Избор на опции за сканиране щракнете върху Избор.
  4. Изберете дисковете и папките за сканиране, както е показано на фигура 13-21, и след това щракнете върху OK.
  5. В Windows Defender щракнете върху Сканиране сега, за да започнете сканирането.
    Фигура 13-21: Избор на дискове и папки за сканиране

Проверка за актуализации

Определенията на шпионския софтуер могат да изложат на вашия компютър на риск. По подразбиране Windows Defender автоматично проверява за актуализирани дефиниции на шпионски софтуер преди извършване на автоматично сканиране. Ако компютърът има достъп до интернет или актуализиран сървър, Windows Defender актуализира дефинициите на шпионския софтуер. Ако компютърът не направи’няма достъп до интернет или актуализиран сървър, Windows Defender не може да актуализира дефинициите на шпионския софтуер.

Можете ръчно да актуализирате дефинициите на шпионския софтуер по всяко време, като следвате тези стъпки:

  1. Щракнете върху Старт и след това щракнете върху Контролен панел.
  2. В контролния панел щракнете върху Сигурността и след това щракнете върху Проверете за нови дефиниции под Windows Defender.
    Бакшиш В Windows Defender можете също да проверите за актуализации, като щракнете върху бутона за опции за помощ на Windows Defender, избирате за Windows Defender и след това щракнете върху Проверка за актуализации.

Преглед или възстановяване на карантинни предмети

Карантирани артикули са артикули, които са били деактивирани и са преместени на защитено място на компютъра, тъй като Windows Defender подозира, че те са вредни или потенциално нежелани софтуер. Можете да получите достъп и да работите с карантирани артикули, като изпълните стъпките:

  1. Отворен Windows Defender.
  2. Щракнете върху инструменти и след това щракнете върху карантирани елементи.
  3. Ако щракнете върху карантиран елемент, можете да премахнете или възстановите елемента.
    • Изберете Премахване, за да премахнете постоянно елемента от компютъра.
    • Изберете RESTORE, за да възстановите артикула на първоначалното му местоположение, така че да може да се използва и да го маркирате като разрешен елемент. Вижте следващия раздел, “Преглед или промяна на софтуерни програми, които разрешавате,” за повече информация.
    1. Ако искате да премахнете всички карантинни елементи, щракнете върху премахване на всички.

    Преглед или промяна на софтуерни програми, които разрешавате

    Понякога ти’ще инсталира програми, които извършват действия, които Windows Defender счита за потенциално вредни или злонамерени. В този случай Windows Defender или ще карантинира програмата автоматично, например за елемент с висока заплаха, или ще ви предупреди за програмата, например за елемент от умерена заплаха. Ако сте сигурни, че карантирана програма е безопасна, можете да я възстановите и Windows Defender ще маркира програмата като разрешен артикул. Или ако получите предупреждение за програма, за която знаете, че е в безопасност, можете да маркирате елемента, както е разрешено.

    Можете да преглеждате или променяте понастоящем разрешени елементи, като следвате тези стъпки:

    1. Отворен Windows Defender.
    2. Щракнете върху инструменти и след това щракнете върху разрешени елементи. На страницата с разрешени елементи, разрешените елементи са изброени по име с ниво на предупреждение и препоръка за това как трябва да се обработва програмата.
    3. Можете да премахнете елемент от списъка с разрешени елементи, като щракнете върху него и след това изберете премахване.

    Изключване или включване на Windows Defender

    Можете да изключите или включите Windows Defender, като следвате тези стъпки:

    1. Отворен Windows Defender.
    2. Щракнете върху инструменти и след това щракнете върху Опции.
    3. Превъртете надолу до долната част на страницата с опции.
    4. Сега можете:
      • Изчистете квадратчето за използване на Windows Defender, за да деактивирате и изключите Windows Defender.
      • Изберете квадратчето за използване на Windows Defender, за да активирате и включете Windows Defender.
      1. Щракнете върху Запазване.

      Може ли Windows Defender да открие злонамерен софтуер?

      В света на онлайн сигурността има много митове и погрешни схващания, които се носят наоколо. Едно от най -често срещаните е вярата, че Windows Defender, Microsoft’S Вградената антивирусна програма, не се справя със задачата за откриване и премахване на злонамерен софтуер.

      Windows Defender е програма, която е включена в операционната система Windows. Той е проектиран да помогне за защита на вашия компютър от зловреден софтуер и друг нежелан софтуер.

      Въпреки че Defender може да не е най -здравата програма за сигурност, тя е повече от способна да защити вашия компютър от злонамерен софтуер.

      Позволявам’s Погледнете по -отблизо как работи защитникът и защо трябва да’не се страхувайте да разчитате на него, за да запазите компютъра си в безопасност.

      Достатъчно ли е защитникът на Windows?

      Как работи Microsoft Defender?

      Противно на общоприетото схващане, Windows Defender всъщност е доста усъвършенстван софтуер. Използва комбинация от евристика и откриване на базата на подпис, за да идентифицира и премахне злонамерен софтуер. Евристиката позволява на Defender да открие чисто нов зловреден софтуер, който Hasn’Не се е срещал преди, докато подписите помагат да се идентифицира и премахне известни заплахи.

      Освен това защитникът се възползва от факта, че е интегриран в операционната система на Windows; Това му дава ниво на достъп, които другите програми за сигурност могат’t мач.

      Всичко това означава, че Defender е повече от способен да открие и премахне злонамерен софтуер от вашия компютър. Това обаче’Важно е да запомните, че нито една програма за сигурност не е перфектна. Винаги ще се появят нови заплахи, които се появяват’не се виждаше преди, а понякога те могат да се промъкнат дори най -добрият софтуер за сигурност. Че’s Защо го’е важно да има резервен план, като добра антивирусна програма.

      Характеристики на Microsoft Defender

      Microsoft Defender се предлага с няколко функции, които могат да ви помогнат да откриете злонамерен софтуер. Тези функции включват защита в реално време, облачна защита и поведенческо откриване. Защитата в реално време означава, че Defender ще сканира вашия компютър за зловреден софтуер всеки път, когато имате достъп до файл или програма.

      Облачната защита използва Microsoft’S Облачна услуга за сканиране на файлове за злонамерен софтуер. Поведенческото откриване следи вашия компютър’s поведение за признаци на инфекция. Ако защитникът намери някаква подозрителна дейност, ще са необходими действия за премахване на злонамерен софтуер.

      Microsoft Defender също може да ви помогне да премахнете злонамерен софтуер, който вече е на вашия компютър. За да направите това, можете да стартирате пълно сканиране на вашия компютър. Пълно сканиране ще провери всички файлове на вашия компютър за злонамерен софтуер. Ако защитникът намери някакъв зловреден софтуер, той ще го премахне от вашия компютър. Освен пълното сканиране, има и други опции за сканиране.

      Опции на Windows-Defender-Scan

      Можете също да използвате Microsoft Defender, за да сканирате конкретни файлове или папки. За да направите това, щракнете с десния бутон върху файла или папката и изберете “Сканиране с Microsoft Defender.” След това защитникът ще сканира избрания файл или папка за злонамерен софтуер.

      Сканиране на папка с Defender

      Как се изпълнява защитник в сравнение с други антимал софтуер?

      Като цяло, Defender върши добра работа, като държи хората’S Компютри безопасно. В последните независими AV-тестове е показано, че е ефективен при откриване и премахване на злонамерен софтуер.

      Резултат от теста на защитника AV

      Има и други програми за антималуер, които могат да свършат по -добра работа от Defender. Някои от тях са безплатни, а някои от тях трябва да платите. Ако се притеснявате за вашия компютър’S Сигурност, може да искате да помислите да използвате една от тези други програми.

      Най-добрият начин да защитите компютъра си обаче е да го поддържате в течение с най-новите лепенки за сигурност и да внимавате за уебсайтовете, които посещавате, и файловете, които изтегляте, защото дори и най-добрият антималуер не е перфектен.

      Как да премахнете злонамерен софтуер и почистване на Windows PC

      Окончателна присъда

      Няма някой отговор на въпроса дали Windows Defender може да открие злонамерен софтуер или не. Зависи от много фактори, включително какъв вид зловреден софтуер се занимавате и колко актуална е вашата инсталация на защитника. Като цяло обаче Defender е добър инструмент за предпазване от вашия компютър от злонамерен софтуер.

      Така че, може ли Windows Defender да открие злонамерен софтуер? Да, това със сигурност може! Дали това е най -стабилната програма за сигурност? Не, но не го прави’не трябва да бъде; За по -голямата част от потребителите тя осигурява повече от достатъчно защита. Дон’не вярвайте на митовете и дезинформацията, плаващи онлайн; Що се отнася до онлайн сигурността, можете да се доверите на Windows Defender.

      Може ли Windows Defender да открие повечето вируси?

      Да, защитникът може да открие повечето вируси. Има обаче някои видове злонамерен софтуер, с които не е много добър в работата си.

      Имам ли нужда от допълнителен антивирус, ако имам защитник на Windows?

      Въпреки че Microsoft Defender е добър инструмент за запазване на вашия компютър, може да искате да помислите да използвате друга програма, ако се притеснявате за вашия компютър’S Сигурност.

      Обнаруяеет логи?

      Dа, за -щата прозорци prednaзnaчеn dlyna obnaruжеniyyy yy uselения. Onnsnaзnaчеn ллия ториом могут Пртетьс зараять беше.

      За -ситенски прозорци – эto asntiviruneaya programmа от Microsoft, Vklючеnnaw Windows 10 ibolee arnnnye -versiy Windows Windows. Она сппольует Комбинахийю Методов Ммого Обеперя.

      Зa-Iytnik Windows Vklючает Слеудиее Функхий дтели зааиты Компьора От Врьонахных Пограмм:

      • защitа в reжyme reaального -рмено: эtа funkцiyyyyytslежeeteeteet -ktoшbsoйbo- be- bе- уает сили удилеее е, Как Толко Она Обнаруееется.

      • proacknaya за -сита: эtа fUnkцiyyjeajeaета по -рютне -пр -прьог -рьо -г -г -ма -г -ъ – , и kemedlено.

      • poVenenчeskababeзопосностсьда: эtа funkцiyyyyyyyyyyyyyyyyyynenenere -р – stnых priloжеniй и predprinimет deйsthiyyna, если -они.

      • ОцеNCA уявмостней: е Функюя Скарьюеет В – и Пргагмами, и Прферинима Дейstiyyyy, чtobы захаить Васис От -хх.

      • Обаная за -сита: эtа funkцiyy isppolзuеt -° р -рмом, ke -Ъг – ы.

      Защitnik windows prednaзnaчеn dlyly защitы verшего компь -юtера ot -р – dnoSnые programmы. Вот почему важно использовать дополнительные уровни защиты, такие как антивирусное программное обеспечение и надежный брандмауэр. Кроемото, Ва -на по -надерьоть Операиинунух -естюму и Прграальном – Аражения не.

      Чtobы Vаш kompjetеr bыl защено -rot noreйшieх usgroз, qaжnos regulylynorno kkavать его с полмохья защитхатьорски прозорци. Вы Можеет Сделать эtO, «Сканировать Сейчас» В цеntrе beзопасние. Если будут обнаружены какие-либо подозрительные действия или угрозы, Защитник Windows примет меры для защиты вашего компьютера.

      V целом защitnyik windows prednaзnaчеn длани Ограмм. Ва -нотльовать Его В Сочетаний скругимий Мерами -Бейгьое, наб – Аухры, отабы Обеспехьда.

      Microsoft Defender

      Когато става въпрос за защита на вашите технологии и цифрови активи, ИТ’практически невъзможно да се избегнат вируси без някаква форма на софтуер за защита. За Windows (а понякога и софтуер MacOS и iOS), едно от най -добрите антивирусни решения идва директно от Microsoft.

      Какво е Microsoft Defender?

      Microsoft Defender, известен още като Microsoft Defender Antivirus, е семейство на Microsoft Product, което осигурява софтуер за откриване на злонамерен софтуер, защита и реакция както за лична, така и за търговска употреба. Като цяло, тези програми са предназначени да укрепят вашите цифрови системи, да смекчат заплахите и мащабни ресурси за сигурност на предприятията. За крайна сигурност тази програма защитава идентичностите (само в САЩ), данни и устройства от онлайн заплахи.

      Марката Microsoft Defender предлага множество софтуер и услуги, включително следното:

      • Microsoft 365 Defender
      • Microsoft Defender за облак
      • Microsoft Defender Endpoint
      • Microsoft Defender за Office 365
      • Microsoft Defender за самоличност
      • Microsoft Defender за облачни приложения
      • Управление на уязвимостта на Microsoft Defender
      • Microsoft Defender за разузнаване на заплахата

      Въпреки че има много софтуер, които могат да обслужват много различни видове хора или групи, тази статия ще се съсредоточи повече върху Enterprise Microsoft Defender Products като Microsoft 365 Defender, Microsoft Defender за Cloud и Microsoft Defender за Endpoint.

      История на Microsoft Defender

      Microsoft Defender беше представен за първи път в света като безплатна програма за сваляне на анти-шпионски софтуер за Windows XP и Windows Server 2003. Анти-шпионският софтуер, работещ с агенти за сигурност в реално време, които наблюдават определени общи части за промени, потенциално причинени от шпионски софтуер. Той също така позволи на потребителите да уточнят кои приложения и програми биха позволили да бъдат изтеглени и да отчитат всичко, което смятат за шпионски софтуер на Microsoft.

      Windows 8 направи по-голяма стъпка и добави антивирусен софтуер, който използва същите дефиниции на двигателя и вирусите на Microsoft от Microsoft Security Essentials (MSE). Както за Windows 8, така и за Windows 10, Windows Defender е активен по подразбиране. В ерата на Windows 10 имаше няколко повторения на Microsoft Defender, например когато Microsoft се опита да обедини и двамата защитник на Windows’S GUI и Windows Security and Happendance в унифицирано приложение за UWP, наречено Windows Defender Center Security (WDSC).

      В крайна сметка софтуерът беше преименуван’Известен като колекция от софтуерни услуги под облачно ориентирана “Microsoft Defender” марка. През 2019 г. Microsoft Defender ATP беше представен за фирми, които използват Mac устройства, които оттогава са разширени и до Android и iOS инструменти, също. Софтуерът се е превърнал в пълна антивирусна програма, която дори може да се използва за мобилни устройства.

      Функции на Microsoft Defender

      Въпреки че вероятно има няколко софтуер за Microsoft Defender, които могат да отговарят на вашия бизнес модел, ето основните три функции, които ще бъдат от полза за предприятията, занимаващи се с мрежа от устройства, софтуер, приложения и т.н.

      Microsoft 356 Defender

      Ако използвате Windows, по-специално 365 облачни услуги, Microsoft 365 Defender е чудесен ресурс за защита на многото услуги на Microsoft, които използвате за ежедневни операции. Някои от най -известните характеристики на Microsoft 365 Defender са както следва:

      • Управлявайте и защитете хибридните идентичности
      • Откриване на заплахи, разследване и отговор на крайните точки
      • Получавайте данни във всички облачни услуги и приложения
      • Защита на офиса 365 от напреднали заплахи

      Microsoft Defender за облак

      Облачните среди се увеличават, което означава нови начини за насочване и защита на вашите активи също са. Microsoft Defender за Cloud е един от по-иновативните софтуер, който помага на предприятията да работят във непрекъснато нарастващите облачни и хибридни среди. Забележителните атрибути на тази услуга, подходяща за облаци, включват:

      • Намалете риска с управление на стойката на контекстната сигурност
      • Помогнете да предотвратите, откривате и реагирате бързо на съвременните заплахи
      • Обединително управление на сигурността за DevOps

      Microsoft Defender за Endpoint

      Друга мощна функция за антивирусна защита е Microsoft Defender за Endpoint, което е по -цялостен подход към вашите антивирусни и злонамерен софтуер, като предлага централизирана платформа за управление на сигурността на Endpoint. Microsoft Defender за Endpoint има функции като:

      • Бързо предотвратяване на заплахата
      • Възможност за мащабиране на сигурността
      • Удължено откриване и отговор XDR

      Какво да търсите в антивирусен софтуер

      Когато избирате антивирусен софтуер за вашия бизнес, има няколко ключови елемента, които да търсите, за да запазите активите си в безопасност.

      • Постоянна защита. Нападателите, които заплашват и вашите бизнес ресурси, също имат напреднали технологии и ИТ’е често срещана стратегия за насочване на бизнеса през уикендите и празниците, докато никой не наблюдава активно вашите системи. Следователно можете’t си позволете антивирусният ви софтуер да бъде нещо по -малко от постоянно, работещ 24/7/365 – DON’не се задоволете за всякакви ръчни сканирания!
      • Чести актуализации. Както можете да видите от нашия исторически преглед на Microsoft Defender, антивирусният софтуер продължава да се развива с нови технологии и нов зловреден софтуер. Уверете се, че вашият антивирусен софтуер се актуализира редовно, както по отношение на функции, така и по функционалност.
      • Разходи. Разбира се, всички компании трябва да обмислят своя бюджет и долен ред, докато избират най -добрия софтуер. Не’не искам да компрометирате твърде много по разходите и да закупите недостатъчна програма. Има много безплатни антивирусни опции, но те предлагат само основна защита, която обикновено е’t достатъчно на ниво предприятие. Колко устройства са покрити? Защитен ли е вашият имейл? Колко дълго трае покритието ви?

      След като намерите програма, която осигурява денонощна защита и чести актуализации на достъпна ценова точка, трябва да внедрите софтуера и да разберете как да го използвате в мащаб най-добре. За многото предимства програмата за Microsoft Defender предлага, управлението и настройването на тези инструменти за нуждите на вашия бизнес може да създаде препятствие. За някои организации може да бъде трудно да се възползват напълно от възможностите за сигурност на Microsoft без експертиза и познания на професионалист по киберсигурност, поради което много компании използват управлявани услуги за откриване и отговор (MDR).

      Как OnTinue може да помогне

      Продуктите на Microsoft са инвестиция за организации и всички инвестиции трябва да бъдат оптимизирани, управлявани и използвани в най -голяма степен. Най -добрият начин да увеличите максимално вашия бизнес’ Инвестицията в сигурността е да си партнирате с марка, която може да осигури необходимия опит.

      Ontinue е експерт по Microsoft и може да помогне на вашето предприятие да използва напълно софтуера за сигурност на Microsoft, за да смекчи заплахите и да увеличи максимално стойността на вашата инвестиция. С платформата Ontinue Ion, която е изградена за Microsoft, можем да конфигурираме инструментите на Microsoft Defender за по -добро обслужване на вашия дигитален пейзаж, по -добре да отговорим на възможни заплахи и по -добре да използвате инструментите, които вече плащате. Поискайте демонстрация днес.

      Ние откриваме и реагираме на заплахите за сигурността. Бързо. С автоматизация, управлявана от AI, която дава възможност за по-интелигентни, по-бързо вземане на решения и действия. Но ние’и в бизнеса с предотвратяване на заплахи-с винаги защита, която продължава да продължава. И учене. И подобряване. Ами минали предишното си определение за сигурно.

      Северна Америка щаб

      450 Maple Street
      Redwood City, CA 94063

      Дали защитникът на Windows е достатъчно, за да премине SOC 2?

      Osquery прави вградения антивирус в одита на Windows

      Джейсън Мелер

      Тази статия е само за Windows устройства. Искам да знаем нашата гледна точка за трети страни AV за MacOS? Разгледайте “Нуждаят ли Macs антивирус на трети страни за спазване на SOC 2?.”

      Искам да пропуснете преамбюла? Отидете надясно на SQL SQL в края на тази статия.

      Откриване и превенция и превенция на злонамерен софтуер на трети страни (това, което използвахме да наричаме антивирус преди преди десетилетие) не е всеки администратор на Windows’S чаша чай. Някои имат по -голяма риба за пържене (e.g., получаване на видимост на крайната точка, за начало); За други те се задоволяват с вградените възможности за борба с мъглата на Windows и по този начин нямат планове да внедрят AV по неговите заслуги.

      За съжаление, SOC 2 и други подобни одити принуждават и двата вида прозорци, които той администрира да купува и разгръща антивирусен софтуер по-рано и по-рано в организацията’S жизнен цикъл. Когато го питам администрации кой е бил’T психично за разгръщане на AV защо така или иначе го направиха, отговорите им обикновено попадат в две кофи:

      1. Те не’Вярвам,. 1
      2. Те не могат да преминат одити за съответствие като SOC 2 без функции за отчитане на предприятия около защитата на злонамерен софтуер.

      В тази статия ние’ще оспорвам и двете предположения. Най-важното е, че искам да покажа, че с инструменти с отворен код можете да преминете SOC2 одит с вградените възможности за борба с мъглата на Windows (Windows Defender), като същевременно сте в състояние да “защита” (Не е предвидена каламбур) тази позиция пред висшето ръководство и одиторите. За да направите това, надявам се’Ще ми се отдаде на блъскането на AV индустрията на трети страни около малко в процеса.

      В идеалния случай, преди да се изправите пред одит SOC 2, вие наистина ви вярвате’Взимаха възможно най -добрите решения относно сигурността на вашите устройства с Windows с ресурсите, които имате на разположение. Например, като практикуващ сигурност, аз го правя всъщност Вярвате, че много организации са по-добре да разчитат на вградените възможности за сигурност на Windows Defender без добавка на трети страни. Как може да бъде?

      Е, за начало, нека’първо признават, че най-основното и бегло проучване около AV на трети страни предвещава ужасно шоу на осезаеми последици, които включват: танкове за крайна точка’s ефективност, редовно блокирайки легитимен софтуер, безразборно продажба на потребители’ данни за неразкрити страни и дори самият софтуер се превръща в източник на големи компромиси.

      Добре, но не всеки доставчик е еднакво засегнат от тези проблеми, така че то’не е честно да обвинявам цялата AV индустрия на трети страни само за тези анекдоти.

      Така че сега, нека’s говорим за това, което имаме предвид под “По-добре.” Най -късогледният и недостатъчен начин за установяване на качеството на антивирусния софтуер е само За да се измери колко е добре при спирането на лошите неща да се случват. Тези измервания включват:

      • Колко бързо може AV да открие роман/нови заплахи?
      • Колко екзекуции в реално време на лоши неща направиха AV спирката?
      • Колко нови области на видимост може да получи?

      То’s Нищо чудно, че компаниите за сигурност на AV изграждат цялата си стъпка въз основа на тези измервания. За съжаление, тези измервания не отчитат платените разходи (обикновено от крайния потребител) за пределните подобрения в тези показатели. Или поставете по друг начин:

      Някак като как една крушка, която подпалва нещата, все още е висококачествена, стига да измервате само лумени?

      – Tavis Ormandy (@taviso) 19 ноември 2016 г

      Мизерията на крайния потребител, генерирана от трети страни AV. Мизерията е неограничена за всичко, което не достига до този бар. Отчитане на това, трябва да коригираме как точно измерваме AV’s действително изпълнение.

      Ето един начин. Вместо просто да търси най -доброто антивирусно представяне на всеки Разходи, имаме нужда от антивирусна ефективност на единица от гадост, където Yuck е дефиниран като качествено деградация на устройството’s потребителско изживяване.

      Така че кой е по -добре стимулиран да ни даде максимално AV изпълнение на Yuck? Според мен това’S ясно доставчици на OS (като Microsoft) и ето причините защо:

      1. Продавачите на ОС са финансово засегнати, ако потребителите смятат, че тяхната операционна система работи като боклуци. От друга страна, се стимулират на трети страни да представят доставчика на ОС като некомпетентни, за да се позиционират като уникални експерти.
      2. Продавачите на ОС разчитат на процъфтяваща екосистема от трети страни от полезен и забавен софтуер, за да задвижват приемането на самата ОС. Това означава, че те трябва да се грижат дълбоко за това как сигурността на ОС влияе върху жизнеспособността на софтуера. Трети страни AV няма никакъв стимул да се грижи за жизнеспособността на другия софтуер, докато клиентите им не забележат (и след това го поправят, като просто го добавят към списък с разрешения).
      3. Продавачите на OS могат да използват вертикална интеграция или партньорства с хардуерни производители, за да разработят високоефективни системи за сигурност в дълбочина в ядрото на самата ОС и да разчитат на съществуването на усъвършенстван хардуер за сигурност като TPM. Продавачите на трети страни не могат да се закачат на това дълбоко ниво (безопасно) и те не могат успешно да се застъпват за специален хардуер в устройството, който прави тяхната технология по-добра.

      Предвид горните реалности, то’Лесно е да се разбере защо Microsoft е инвестирал силно в Windows’ Вградените възможности за сигурност значително след дните на Windows XP на Yore.

      Първоначално пуснат през 2009 г. (под името Microsoft Security Essentials), Windows Defender Antivirus се е превърнал в напълно фугирано и добре оценено антивирусно приложение, което е включено във всички версии на Windows (включително 10 и 11).

      Графика, изобразяваща 5 -те ключови характеристики на Windows Defender

      Windows Defender предлага достатъчна защита срещу зловреден софтуер, откуп, рекламен софтуер, троянски и шпионски софтуер. Той може да блокира подвизите, да предотврати мрежови атаки и сайтове за фишинг на флага. Освен това има усъвършенствани функции като защита от заплаха в реално време, актуализации на базата на облак, офлайн сканиране и ограничено периодично сканиране.

      Екранна снимка, изобразяваща няколко ключови настройки на Windows Defender

      Друг компонент, наречен SmartScreen, насърчава сигурното сърфиране в интернет на ръба, а Microsoft разшири защитата на други браузъри като Chrome и Firefox.

      Microsoft Defender също изброява откритите заплахи в докладите за сигурността, които можете да прегледате в приложението за сигурност на Windows.

      Екранна снимка на приложението за сигурност на Windows

      Освен това софтуерът за сигурност използва машинно обучение, анализи на големи данни, изследване на устойчивостта на заплаха и други, за да защити крайните точки от известни вируси и атаки с нулев ден. Функциите са в самолетни с платен антивирусен софтуер, с допълнителното предимство да сте част от операционната система, така че не го правите’не трябва да вършите допълнителна работа за инсталиране и поддържане на приложението.

      AV доставчици’ Общи аргументи за оправдаване на техните продукти въпреки Microsoft’S Изчерпателната вградена сигурност е свързана с разделянето на космите около ефикасността на откриването.

      Playbook обикновено включва третата страна AV доставчик, сочещ конкретни варианти на злонамерен софтуер, които техният продукт може да открие и че Microsoft не успява да добави към списъците си с подпис незабавно (или изобщо).

      Според мен това е глупав аргумент за монтиране. То’е лесен за изброяване на много успешни кампании за злонамерен софтуер, които никой антивирусен доставчик не може да открие своевременно. Тъй пределни подобрения. Ако потребителите поддържат тесен кораб, прилагат актуализации и не деактивират UAC, това силно корелира с много нисък шанс тези разлики в защитата да им повлияят.

      Разширяване на идеята, че превенцията в крайна сметка се проваля, в даден момент има смисъл да се намери разумна базова линия на превантивното антивирус и да се насочи фокусът и ресурсите в изграждането на план за реагиране на компютърни инциденти. Това означава кога (не ако) компютърният компютър с Windows наистина се компрометира, организацията може по -добре да реагира на смекчаване на потенциално тежките въздействия на този компромис, който остава без проверка. Играта за превенция е една с намаляваща възвръщаемост за изразходван долар. От друга страна, развитието на реакциите на инциденти е една от най -добрите инвестиции в сигурността, които можете да направите.

      Както видяхме по -горе, Microsoft се стимулира и върши разумна работа, защитавайки потребителите на Windows PC от злонамерен софтуер.

      Че’s страхотна новина! Но там’s един проблем.

      Все още трябва да събирате данни, за да компилирате отчети за вашия одит за съответствие. Microsoft не’T предлагат начин да постигнете това ниво на видимост на флота, без да закупите техния пакет от инструменти за управление на крайната точка и сигурност (по същество същото нещо, което бихте получили с трети страни AV).

      Че’S, където Osquery идва на помощ.

      Може би сте чували за използването на Osquery за приемане’S също удобен инструмент за събиране на данни, за да отговаря на изискванията за отчитане на SOC 2?

      Osquery е инструмент с отворен код, който позволява на потребителите да заявят операционните системи. Например, той може да използва Osquery, за да придобие видимост в MacOS, Windows и Linux устройства.

      Можете да използвате Osquery, за да проверите всички устройства във вашия флот. Това ви позволява да гарантирате, че те спазват специфични за платформата правила въз основа на вашата компания’S Политика за сигурност на данните и стандарти за съответствие (E.g., Шифроване на дискове, състояние на защитната стена, актуализации на ОС и т.н.)

      Osquery може да натрупва и регистрира данни за спазването на регистрацията, за да подкрепи отчитането на SOC 2 и процеса на одит. Можете да видите агрегирани показатели или да се пробиете до специфики, като използвате различни филтри, за да демонстрирате, че потребителите’ Устройствата са в съответствие с изискванията на SOC 2.

      Графика, изобразяваща как работи Osquery

      Много ИТ професионалисти предпочитат Osquery, защото това’s просто, надеждно и разширяемо. Тъй като работи и за трите операционни системи, можете да събирате данни на всяко устройство във вашия флот, без да използвате различни инструменти.

      За да преминете своя одит SOC 2, трябва да създадете документация, за да демонстрирате, че вашите системи и процеси отговарят на специфични изисквания.

      За да покажете, че имате подходяща защита срещу злонамерен софтуер и вируси според общи критерии 6.8, трябва да създадете отчет, който да опише вашите процеси за наблюдение на целостта на файловете (FIM) и управление на сигурността на крайната точка.

      Вашата документация трябва да демонстрира това:

      • Можете да проследявате актуализации, направени на софтуерни и конфигурационни файлове и промени в състоянията и събитията за защита на крайната точка.
      • Вие сте внедрили контроли, за да предотвратите, откривате и действате върху неоторизиран или злонамерен софтуер, въведен във вашата инфраструктура.
      • Само упълномощени лица могат да инсталират приложения и софтуер на устройства, свързани към вашата мрежа.
      • Имате процеси за откриване на промени, които биха могли да показват наличието на неоторизиран или злонамерен софтуер.
      • Там’s Процес на контрол на промените, дефиниран за управление, за да се наблюдава внедряването на софтуер и приложения.
      • Софтуерът за антивирусен и анти-зловреден софтуер се реализира и поддържа за откриване и отстраняване на злонамерен софтуер.
      • Следвате процедури за сканиране на информационни активи във вашия арест, за да откриете злонамерен софтуер и друг неоторизиран софтуер.

      По -долу е пример за документацията, която предоставяме на клиентите при поискване, за да им помогнем да предадат тези критерии за тяхното спазване на SOC 2 с Kolide и Microsoft Windows’ Вградена защита.

      Пример за документацията, която използвахме за предаване на тези критерии за собственото ни съответствие SOC 2, с инструменти Kolide и Windows

      Можете [да изтеглите копие от тази документация тук] (/Съответствие/SOC2-AV.PDF).

      Microsoft Windows с Defender може да удовлетвори техническите изисквания за сертифициране на SOC 2, а вие не сте’не трябва да се използва антивирус на трети страни. Но’s предизвикателство за компилиране на данни и отчитане в мащаб. Това е мястото, където Osquery влиза, за да осигури видимост на флота, да наблюдава дейностите и да събира данните, които са ви необходими, за да докажете съответствие на флота за одит на SOC 2 и отчитане.

      За да установим, че общият апарат за предотвратяване на злонамерен софтуер на Windows работи, трябва да използваме вграденото отчитане, което се предлага със самия Windows, Център за сигурност на Windows.

      Информация за центъра за сигурност на Windows, визуализирана в Колид

      Въведен обратно в Windows XP SP2, API на Windows Center Center ни дават пълен здравен доклад за състоянието на критичните функции за сигурност на Windows. Бързо напред почти две десетилетия и тези API все още ни дават някаква представа на високо ниво, от която се нуждаем.

      За щастие за нас, Колид допринесе за таблица на Osquery, която ни позволява да питаме този API. То’s наречен windows_security_center .

      Изберете * От windows_security_center; 

      Osquery> Изберете * от windows_security_center; защитна стена = добър autoupdate = добър антивирус = добър интернет_settings = добър windows_security_center_service = добър user_account_control = добър

      Въпреки че това ни осигурява единна здравна степен както за антивирусна, така и за анти-шпионска защита на устройството на Windows, можем да използваме друг таблица с osquery, наречена windows_security_products, за да получите още по -задълбочен поглед.

      Изберете * От windows_security_products; 

       type = име на защитна стена = Windows защитна стена = на state_timestamp = null Remediation_path = %Windir %\ System32 \ защитна стена.cpl signatures_up_to_date = 1 type = antivirus name = microsoft defender antivirus state = on state_timestamp = sun, 01 май 2022 04:33:50 gmt Remediation_path = windowsdefender: // signatures_up_to_date = 1

      Тази таблица ни казва кои продукти в момента са отговорни както за защитната стена на антивируса, така и за приложния слой, така и дали включените подписи са актуални.

      Както можете да видите по-горе, Osquery може да помогне за събиране на основни подробности за състоянието на вградения зловреден софтуер и защита от вируси и вируси. За съжаление, това е’t Съвсем достатъчно информация. Например, ни липсва информация за Windows Defender’s конфигурация и нямаме представа за резултатите от Defender’S сканиране.

      За да получим тази информация, трябва да надхвърлим вградените възможности на Osquery. За щастие, Колид’S отворен код Агент разширява Osquery’S, така че да може да се мости в API за управление на Windows за управление на Windows (WMI). Това е точно това, от което се нуждаем, за да завършим историята си за събиране на данни.

      В WMI API Microsoft предлага класа MSFT_MPCompustersStatus, който ни позволява да вземем всички съответни подробности за текущото състояние на Windows Defender.

      Докато WMI заявката (която също използва SQL) ще изглежда нещо като Select * от MSFT_MPCompustersStatus с Kolide, трябва да бъдем малко по -изрично:

      Изберете * От kolide_wmi КЪДЕТО клас = 'Msft_mpcompustersstatus' И пространство от имена = -\ rOot\ Microsoft\ Windowsefender ' И Имоти = 'ComputerID,ComputerState,AMProductVersion,AMServiceVersion,AntispywareSignatureVersion,AntispywareSignatureAge,AntispywareSignatureLastUpdated,AntivirusSignatureVersion,AntivirusSignatureAge,AntivirusSignatureLastUpdated,NISSignatureVersion,NISSignatureAge,NISSignatureLastUpdated,FullScanStartTime,FullScanEndTime,FullScanAge,LastQuickScanSource,LastFullScanSource,RealTimeScanDirection,QuickScanStartTime,QuickScanEndTime,QuickScanAge,AMEngineVersion,AMServiceEnabled,OnAccessProtectionEnabled,IoavProtectionEnabled,BehaviorMonitorEnabled,AntivirusEnabled,AntispywareEnabled,RealTimeProtectionEnabled,NISEngineVersion,NISEnabled' 

      +ЖТ ──────────− |+ ──────────− |+ | fullkey | ключ | родител | заявка | Стойност | WhereeClause | +─── цга ────────────+ ──────────− |+ | 0/ComputerState | Computerstate | 0 | * | 0 | "" | | 0/antispyWaresignatureVersion | AntispyWaresignatureVersion | 0 | * | 1.363.1657.0 | "" | | 0/antispywaresignaturege | Antispywaresignatureage | 0 | * | 0 | "" | | 0/QuickScanendtime | QuickScanendtime | 0 | * | 20220507001933.450000+000 | "" | | 0/nisenabled | Nisenabled | 0 | * | Вярно | "" | | 0/amserviceversion | Amserviceversion | 0 | * | 4.18.2203.5 | "" | | 0/antispywaresignaturelastupdated | Antispywaresignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/Антивирусионнавърсия | Антивирусионнавърсия | 0 | * | 1.363.1657.0 | "" | | 0/ioavProtectionEnabled | IoavProtectionEnabled | 0 | * | Вярно | "" | | 0/antivirussignaturelastupdated | Antivirussignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/QuickScanage | QuickScanage | 0 | * | 2 | "" | | 0/AntispyWareenabled | AntispyWareenabled | 0 | * | Вярно | "" | | 0/nissignatureversion | Nissignatureversion | 0 | * | 1.363.1657.0 | "" | | 0/Nissignatureage | Nissignatureage | 0 | * | 0 | "" | | 0/Fullscanage | Пълен пейзаж | 0 | * | '-1 | "" | | 0/nisengineversion | Nisengineversion | 0 | * | 1.1.19200 г.5 | "" | | 0/realtimescandirection | Realtimescandirection | 0 | * | 0 | "" | | 0/amServiceEnabled | AmServiceEnabled | 0 | * | Вярно | "" | | 0/computerid | ComputerID | 0 | * | 9802EC57-A4BB-4137-BB73-51516631CDF9 | "" | | 0/amproductversion | Amproductversion | 0 | * | 4.18.2203.5 | "" | | 0/поведение на поведението | Поведение на поведение | 0 | * | Вярно | "" | | 0/realTimeProtectionEnabled | RealTimeProtectionEnabled | 0 | * | Вярно | "" | | 0/antivirussignatureage | Antivirussignatureage | 0 | * | 0 | "" | | 0/QuickScanStartTime | QuickScanStartTime | 0 | * | 20220507001822.844000+000 | "" | | 0/amengineversion | Amengineversion | 0 | * | 1.1.19200 г.5 | "" | | 0/nissignaturelastupdated | Nissignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/lastquickscansource | Lastquickscansource | 0 | * | 2 | "" | | 0/lastfullscansource | LastFullScanSource | 0 | * | 0 | "" | | 0/OnAccessProtectionEnabled | OnAccessProtectionEnabled | 0 | * | Вярно | "" | | 0/Антивирусенативи | Антивирусенативи | 0 | * | Вярно | "" | +─── цга ───────────++───────────────− Джет+

      Въпреки че това са данните, които искаме, то’s не съвсем във формат, който е лесен за четене. Използвайки техники за трансформация на EAV, които научихме от друга публикация в блога, можем да пренапишем заявката, за да получим един ред, съдържащ всяко свойство.

      С WMI_RAW КАТО ( Изберете * От kolide_wmi КЪДЕТО клас = 'Msft_mpcompustersstatus' И пространство от имена = -\ rOot\ Microsoft\ Windowsefender ' И Имоти = 'ComputerID,ComputerState,AMProductVersion,AMServiceVersion,AntispywareSignatureVersion,AntispywareSignatureAge,AntispywareSignatureLastUpdated,AntivirusSignatureVersion,AntivirusSignatureAge,AntivirusSignatureLastUpdated,NISSignatureVersion,NISSignatureAge,NISSignatureLastUpdated,FullScanStartTime,FullScanEndTime,FullScanAge,LastQuickScanSource,LastFullScanSource,RealTimeScanDirection,QuickScanStartTime,QuickScanEndTime,QuickScanAge,AMEngineVersion,AMServiceEnabled,OnAccessProtectionEnabled,IoavProtectionEnabled,BehaviorMonitorEnabled,AntivirusEnabled,AntispywareEnabled,RealTimeProtectionEnabled,NISEngineVersion,NISEnabled' ), microsoft_windows_defender_config КАТО ( Изберете Макс(Случай КОГА ключ = &bdquo;Amengineversion&ldquo; ТОГАВА стойност КРАЙ) КАТО am_engine_version, Макс(Случай КОГА ключ = &bdquo;Amproductversion&ldquo; ТОГАВА стойност КРАЙ) КАТО am_product_version, Макс(Случай КОГА ключ = &bdquo;Amserviceenabled&ldquo; ТОГАВА стойност КРАЙ) КАТО am_service_enabled, Макс(Случай КОГА ключ = &bdquo;Amserviceversion&ldquo; ТОГАВА стойност КРАЙ) КАТО am_service_version, Макс(Случай КОГА ключ = &bdquo;Antispywareenabled&ldquo; ТОГАВА стойност КРАЙ) КАТО antispyware_enabled, Макс(Случай КОГА ключ = &bdquo;Antispywaresignatureage&ldquo; ТОГАВА стойност КРАЙ) КАТО antispyware_signature_age, Макс(Случай КОГА ключ = &bdquo;Antispywaresignaturelastupdated&ldquo; ТОГАВА стойност КРАЙ) КАТО antispyware_signature_last_updated, Макс(Случай КОГА ключ = &bdquo;AntispyWaresignatureVersion&ldquo; ТОГАВА стойност КРАЙ) КАТО antispyware_signature_version, Макс(Случай КОГА ключ = &bdquo;Антивирусенатива&ldquo; ТОГАВА стойност КРАЙ) КАТО antivirus_enabled, Макс(Случай КОГА ключ = &bdquo;Antivirussignatureage&ldquo; ТОГАВА стойност КРАЙ) КАТО antivirus_signature_age, Макс(Случай КОГА ключ = "Antivirussignaturelastupdated" ТОГАВА стойност КРАЙ) КАТО antivirus_signature_last_updated, Макс(Случай КОГА ключ = &bdquo;Антивирусионнавърсия&ldquo; ТОГАВА стойност КРАЙ) КАТО antivirus_signature_version, Макс(Случай КОГА ключ = &bdquo;Поведение на поведението&ldquo; ТОГАВА стойност КРАЙ) КАТО поведение_monitor_enabled, Макс(Случай КОГА ключ = "ComputerId" ТОГАВА стойност КРАЙ) КАТО computer_id, Макс(Случай КОГА ключ = &bdquo;Компютърна снимка&ldquo; ТОГАВА стойност КРАЙ) КАТО computer_state, Макс(Случай КОГА ключ = "Fullscanage" ТОГАВА стойност КРАЙ) КАТО full_scan_age, Макс(Случай КОГА ключ = &bdquo;IoavProtectionEnabled&ldquo; ТОГАВА стойност КРАЙ) КАТО ioav_protection_enabled, Макс(Случай КОГА ключ = &bdquo;Lastquickscansource&ldquo; ТОГАВА стойност КРАЙ) КАТО last_quick_scan_source, Макс(Случай КОГА ключ = "LastFullScanSource" ТОГАВА стойност КРАЙ) КАТО last_full_scan_source, Макс(Случай КОГА ключ<
/span> = 'Nisenabled' ТОГАВА стойност КРАЙ) КАТО nis_enabled, Макс(Случай КОГА ключ = &bdquo;Nisengineversion&ldquo; ТОГАВА стойност КРАЙ) КАТО nis_engine_version, Макс(Случай КОГА ключ = &bdquo;Nissignatureage&ldquo; ТОГАВА стойност КРАЙ) КАТО nis_signature_age, Макс(Случай КОГА ключ = &bdquo;NissignatureLastupdated&ldquo; ТОГАВА стойност КРАЙ) КАТО nis_signature_last_updated, Макс(Случай КОГА ключ = &bdquo;Nissignatureversion&ldquo; ТОГАВА стойност КРАЙ) КАТО nis_signature_version, Макс(Случай КОГА ключ = &bdquo;OnAccessProtectionEnabled&ldquo; ТОГАВА стойност КРАЙ) КАТО on_access_protection_enabled, Макс(Случай КОГА ключ = "QuickScanage" ТОГАВА стойност КРАЙ) КАТО QUICK_SCAN_AGE, Макс(Случай КОГА ключ = &bdquo;QuickScanendtime&ldquo; ТОГАВА стойност КРАЙ) КАТО QUICK_SCAN_END_TIME, Макс(Случай КОГА ключ = &bdquo;QuickScanStartTime&ldquo; ТОГАВА стойност КРАЙ) КАТО QUICK_SCAN_START_TIME, Макс(Случай КОГА ключ = &bdquo;RealtimeProtectionEnabled&ldquo; ТОГАВА стойност КРАЙ) КАТО real_time_protection_enabled, Макс(Случай КОГА ключ = &bdquo;Realtimescandirection&ldquo; ТОГАВА стойност КРАЙ) КАТО real_time_scan_direction От WMI_RAW Група От родител ) Изберете * От microsoft_windows_defender_config; 

      +ЖТ ─── цга ─── цга ─── цемат ─── цема ─+──−ферен ────────− |хенизирайки се am_engine_version | am_product_version | am_service_enabled | am_service_version | antispyware_enabled |antispyware_signature_age | antispyware_signature_last_updated | antispyware_signature_version | antivirus_enabled | antivirus_signature_age | antivirus_signature_last_updated | antivirus_signature_version | поведение_монитор_езвук | computer_id | computer_state | full_scan_age | IOAV_PROTECTION_ENABLED | last_full_scan_source | last_quick_scan_source | nis_enabled | nis_engine_version | nis_signature_age | nis_signature_last_updated | nis_signature_version | on_access_protection_enabled | QUICK_SCAN_AGE | QUICK_SCAN_END_TIME | QUICK_SCAN_START_TIME | real_time_protection_enabled | real_time_scan_direction |+─── цга ─── цга ─── цга ─── цемат ЖТ ЖТ ──────− |хеп 1.1.19200 г.5 | 4.18.2203.5 | Вярно | 4.18.2203.5 | Вярно | 0 | 20220509023536.000000+000 | 1.363.1657.0 | Вярно | 0 | 20220509023536.000000+000 | 1.363.1657.0 | Вярно | 08FB414B-6118-4183-B65E-3FBA345670EF | 0 | '-1 | Вярно | 0 | 2 | Вярно | 1.1.19200 г.5 | 0 | 20220509023536.000000+000 | 1.363.1657.0 | Вярно | 6 | 20220502134713.979000+000 | 20220502134622.525000+000 | Вярно | 0 | +─── цга ─── цга ─── цга ─── цемат ЖТ ЖТ ЖТ+

      Има още една важна част от данните, от които се нуждаем, ако Windows Defender откри всякакви заплахи в моите устройства? Отново има WMI клас, наречен MSFT_MPTRETTEDETECTENCE (DOCS), който можем да използваме с помощта на Kolide&rsquo;S WMI до Osquery Bridge.

      Разширяване на всичко, което ние&rsquo;Научихме се в последния раздел, можем да попитаме този клас WMI по същия начин и да създадем един ред за всяка новооткрита заплаха.

      Ето последния SQL:

      С WMI_RAW КАТО ( Изберете *, Сплит(родител, '/', 0) КАТО уникален_ид От kolide_wmi КЪДЕТО клас = 'MSFT_MPTHREATDETECTION' И пространство от имена = -\ rOot\ Microsoft\ Windowsefender ' И Имоти = &bdquo;DetectionId, ThreatID, ProcessName, DomainUser, DetectionSourceTypeId, ресурси, InitileDectectionTime, LastThreatStatusChangetime, Време за възстановяване, CurrentThreatexecutionStatusid, ThreatStusID, ThreadStatusErrorCode, почистване, ампродуктиране, ActionSuccess, ActionsactcessMasMasmask, Amproductversion, Actionscess, Adtivenccess, ActionsactionsBitmask&ldquo;, Actionsuccess, DequarctActionsBitmask '' ), microsoft_windows_defender_threats КАТО ( Изберете Макс(Случай КОГА ключ = "DetectionId" ТОГАВА стойност КРАЙ) КАТО detection_id, Макс(Случай КОГА ключ = "Заплаха" ТОГАВА стойност КРАЙ) КАТО заплаха_id, Макс(Случай КОГА ключ = "ProcessName" ТОГАВА стойност КРАЙ) КАТО process_name, Макс(Случай КОГА ключ = &bdquo;Домейнсър&ldquo; ТОГАВА стойност КРАЙ) КАТО domain_user, Макс(Случай КОГА ключ = &bdquo;DetectionSourceTypeId&ldquo; ТОГАВА стойност КРАЙ) КАТО detection_source_type_id, Group_concat(Случай КОГА FullKey КАТО &bdquo;%Ресурси%&ldquo; ТОГАВА стойност КРАЙ, ',') КАТО ресурси, Макс(Случай КОГА ключ = &bdquo;Инициално време&ldquo; ТОГАВА стойност КРАЙ) КАТО inical_detection_time, Макс(Случай КОГА ключ = "LastThretstatuschangetime" ТОГАВА стойност КРАЙ) КАТО last_threat_status_change_time, Макс(Случай КОГА ключ = &bdquo;Време за възстановяване&ldquo; ТОГАВА стойност КРАЙ) КАТО Почистване_TIME, Макс(Случай КОГА ключ = &bdquo;CurrentThreatexecutionStatusid&ldquo; ТОГАВА стойност КРАЙ) КАТО current_threat_execution_status_id, Макс(Случай КОГА ключ = "ThreatStatusid" ТОГАВА стойност КРАЙ) КАТО заплаха_status_id, Макс(Случай КОГА ключ = &bdquo;ThreatStatusErrorCode&ldquo; ТОГАВА стойност КРАЙ) КАТО заплаха_status_error_code, Макс(Случай КОГА ключ = "Почистване" ТОГАВА стойност КРАЙ) КАТО почистване_акция_ид, Макс(Случай КОГА ключ = &bdquo;Amproductversion&ldquo; ТОГАВА стойност КРАЙ) КАТО am_product_version, Макс(Случай КОГА ключ = &bdquo;Actionsuccess&ldquo; ТОГАВА стойност КРАЙ) КАТО Action_success, Макс(Случай КОГА ключ = &bdquo;Допълнителни действия на бита&ldquo; ТОГАВА стойност КРАЙ) КАТО Допълнителни_акции_bit_mask От WMI_RAW Група От уникален_ид) Изберете * От microsoft_windows_defender_threats; 

      +─── цга ─── цга ─── цга ЖТ ───────--+ | Action_success | Допълнителни_акции_bit_mask | am_product_version | почистване_акция_ид | current_threat_execution_status_id | detection_id | detection_source_type_id | domain_user | inical_detection_time | last_threat_status_change_time | process_name | Почистване_TIME | Ресурси | заплаха_id | заплаха_status_error_code | заплаха_status_id |+─── цга ───−ферен ─── цга ─── цга ────────--+ | Вярно | 0 | 4.18.2203.5 | 9 | 0 | | 1 | Desktop-2HFBS8U \ JASON | 20220430211822.148000+000 | 20220501044223.930000+000 | Неизвестно | 20220501044223.930000+000 | "Файл: _c: \ Потребители \ Jason \ Downloads \ Eicar (1).com, файл: _c: \ Потребители \ Jason \ Downloads \ eicar.com "| 2147519003 | 0 | 106 | | Вярно | 0 | 4.18.2203.5 | 2 | 0 | | 2 | NT Authority \ System | 20220501043200.985000+000 | 20220501043227.380000+000 | Неизвестно | 20220501043227.380000+000 | "Файл: _c: \ Потребители \ Jason \ Downloads \ Eicar (1).com, файл: _c: \ Потребители \ Jason \ Downloads \ eicar.com "| 2147519003 | 0 | 3 |+────− |хео ─── цга ЖТ ─── цга ─────+────────────────− ужасяване+

      Въпросът сега става, как най -добре агрегирате данните, събрани чрез Osquery, и да ги покажете на одиторите?

      Osquery извън кутията излъчва дневници, които могат да бъдат агрегирани от SIEM на трети страни и инструменти за агрегиране на дневника. Използвайки техните местни функции за отчитане, можете да изградите табло, което да ви преведе през одита ви и да ви даде невероятна видимост.

      Ако не&rsquo;не искам да изградите всичко това сами, Колид може да ви издигне и да работи бързо. Колид&rsquo;S продуктът автоматично ви дава местни инсталатори за Macs, Windows и Linux, които инсталират Osquery. След като агентът работи, Kolide автоматично ще събере цялата подходяща информация, ще я обобщи и визуализира. След няколко минути можете да погледнете таблото за управление:

      Колид&rsquo;S Инвентаризацията автоматично обобщава информация, която трябва да показвате одитори за SOC2.

      Освен това Kolide може да ви даде достъп до API и пълна документация за данните, които събира.

      Друг въпрос Vanilla Osquery не&rsquo;няма отговор за е отстраняване. Например, ако откриете, че Windows Secure Boot е деактивиран (което помага да се гарантира целостта на основната система за защита), как да я поправите? Един от подхода е да се закупи продукт за управление на устройства на Windows и да се прилагат политики, за да се наложат тези настройки. Въпреки че това може да работи, не всичко може да бъде автоматизирано по този начин. Няма начин да се активира защитено зареждане без потребителя&rsquo;s Помогнете дистанционно.

      Отново Kolide може да стартира проверки срещу вашия компютър с Windows, за да провери дали тези услуги са активирани. Ако са&rsquo;T, Kolide се интегрира с Slack to Re-Users и ги насочва как да активират тези функции (и да обяснят защо са важни, за да ги запазят по този начин).

      Екранна снимка на Колид

      Приложението Kolide Slack може да се свърже директно с крайния потребител, за да им уведоми, че Secure Boot е изключен и да им помогне да го върнат възможно най-скоро.

      Известията за крайните потребители са част от нашата честна философия за сигурност. Вярваме, че преподаването на крайни потребители как да поддържат устройствата си защитени мрежи по-добре и по-пълна сигурност при просто заключване на машината надолу.

      Опитайте Kolide безплатно, за да видите как можем да ви помогнем да постигнете по -лесно спазването на SOC 2.

      1. Одиторите на съответствието се дразнят, когато използвате бинарни условия като &ldquo;Pass&rdquo; или &ldquo;неуспех&rdquo; За да опише резултата от одит. Вместо това те използват термини като &ldquo;модифициран&rdquo; или &ldquo;квалифициран&rdquo;. Когато използвам думата &ldquo;Pass&rdquo; В тази статия искам да кажа, че сте получили доклад на SOC 2 без отрицателна квалификация. ↩