Windows defender advanced threat protection что это
Windows Defender Advanced Threat Protection — что это за программа и нужна ли она? (MsSense.exe)
Приветствую друзья! 
Сегодня мы поговорим о программе Windows Defender Advanced Threat Protection — узнаем что она из себя представляет, зачем нужна. Поехали!
Windows Defender Advanced Threat Protection — что это?
Windows Defender Advanced Threat Protection (ATP) — агент защитника Windows, представляющий единую платформу превентивной защиты, обнаружения взломов, автоматического изучения и устранения (так понимаю угроз). Вот такая официальная информация содержится на сайте Майкрософт.
Если короткой — Windows Defender Advanced Threat Protection это некий компонент виндовского защитника, обеспечивающий дополнительную защиту.
Также на офф сайте сказано — этот агент защищает ваш бизнес от сложных угроз. Возможно данная защита больше направлена на коммерческие ПК, чем на домашние. Например этой защитой пользуются компании DB Schenker, Metro CSG, Emirates Airlines, MSC Mediterranean Shipping Company и другие компании. Разумеется все довольны, их отзывы есть на офф сайте Microsoft.
Основные возможности
Давайте попробуем понять основные возможности этой защиты — просто инфа в интернете как бы есть, но она раскидана и расплывчата. Я буду опираться на офф сайт Microsoft.
Это только основные возможности. О всех писать нет смысла — не всем они будут понятны, разве что только системным администраторами. Смотря что умеет эта защита, можно делать вывод — она точно излишня для домашних, обычных юзеров. Вирусы, которым способна дать отпор данная защита — просто не водятся на обычных ПК.
| Семейство | Название |
|---|---|
| Windows Servers | Windows Server 2016, Windows Server 2012 R2 |
| Поддерживаемые версии Windows | Windows 10, Windows 8.1, Windows 7 SP1 |
| Другие платформы (через партнеров) | Android, iOS, macOS, Linux |
В общем ребята — не вижу смысла вас дальше грузить этой инфой. Думаю всем все понятно — Windows Defender Advanced Threat Protection это инструмент, направлен на обеспечение повышенной безопасности, которая нужна больше бизнесу, чем обычному домашнему ПК. Кроме бизнеса, может использовать думаю в:
Снова вывод — используется там, где данные на ПК имеют особую ценность. То есть даже вы дома можете использовать эту защиту, если у вас.. например мега ценная инфа финансового характера.
Windows Defender Advanced Threat Protection — внешний вид
Давайте посмотрим на эту программу — ее внешний вид, интерфейс.
Вот собственно часть админки:
Видим, что есть много кнопок, функция, чтобы контролировать безопасность в реальном времени. Я так понимаю что на главной странице будет отображена самая важная инфа, вот на картинке выше пример — написано Malicious memory artifacts found, что означает — найдены вредоносные артефакты памяти.
Я так понимаю что всю аналитику, мониторинг, наблюдение — можно вести в интернете:
Видим графики, всякие диаграммы.. А вот само меню админки:
Как видим — полный отчет о действиях, всякие настройки, лог оповещений.. думаю для домашнего юзера это будет слишком сложным да и лишним делом.. все это следить, проверять..
Отключение
Оказывается существует служба — Windows Defender Advanced Threat Protection Service, сервисное/внутреннее название которой — Sense. Русское название такое — Служба Advanced Threat Protection в Защитнике Windows:
В описании так и сказано — помогает защитить от дополнительных угроз посредством наблюдения и отчетности о событиях.
На скриншоте видно — кнопка Запустить активна, меню Тип запуска — тоже активно. Не заблокировано. Значит можно в целях эксперимента эту службу отключить, если например эта защита вызывает нагрузку на ПК, либо компьютер просто тормозит.
Отключить службу просто:
Запустить окно со списком служб тоже просто:
Папка
Кстати, у меня оказалось тоже есть эта служба! И она у меня отключена:
Кстати работает служба под процессом MsSense.exe.
Но кроме службы также нашел папку эту:
C:\Program Files\Windows Defender Advanced Threat Protection
Внутри файлы, которые.. думаю используются защитой, по крайней мере вижу MsSense.exe, под которым работает служба. Файлы SenseSampleUploader.exe и SenseCncProxy.exe очень похожи на компоненты, связанные с обновлением и работой прокси.
Заключение
Мы сегодня пообщались немного о продвинутой защите, которая:
Надеюсь информация пригодилась. Удачи и добра! До новых встреч! 
Защитник Windows 10 получит расширенную защиту от угроз (Advanced Threat Protection)
Новая технология называется Windows Defender Advanced Threat Protection (расширенная защита от угроз Защитника Windows) может обнаруживать, анализировать и предотвращать угрозы в сети, предлагая не только мощные функции безопасности, но также значительный объем дополнительной информации, которая поможет сделать правильный выбор при блокировке зловредов.
Вице-президент Microsoft Терри Мейерсон (Terry Myerson) сообщил: “Новая технология расширенной защиты от угроз обеспечивает качественно новый уровень защиты для систем Windows 10. За счет сочетания клиентской технологии, встроенной в Windows 10 и эффективной облачной службы, Advanced Threat Protection поможет обнаружить угрозы, которые смогли обойти другие защитные механизмы, а также снабдит организации исчерпывающей информации о конечных точках нарушений”.
Сочетание облачной аналитики и веб-данных
Согласно Microsoft, Windows Defender Advanced Threat Protection для обнаружения атак полагается на облачную службу аналитики, логические методы и информацию, собранную из сети. Более того, технология помогает исследовать предупреждения и выполнять мониторинг сети на предмет признаков атаки, а также предоставляет расширенные инструменты для своевременного обновления и сокращения издержек.
По заявлениям Microsoft облачная платформа обеспечивает мгновенный доступ к исследованиям. Windows Defender Advanced Threat Protection дополняет расширенные службы защиты Office 365 Advanced Threat Protection и Microsoft Advanced Threat Analytics.
Мейерсон пояснил, что более 500000 систем уже смогли опробовать новый инструмент, и результаты тестирования впечатляют.
Он добавил: “Windows Defender Advanced Threat Protection подтвердила свою жизнеспособность и эффективность среди широкого круга клиентов раннего доступа, которые отличаются по своему географическому положению и отрасли деятельности. Крупная сеть Microsoft делает технологию одной из самых крупных систем расширенной безопасности на рынке”.
Windows Defender Advanced Threat Protection станет общедоступна чуть позже в 2016 году, мы будем следить за развитием событий.
Microsoft Defender для конечной точки
Применимо к: Configuration Manager (current branch)
Endpoint Protection может помочь управлять и отслеживать Microsoft Defender для конечной точки. Microsoft Defender для конечной точки помогает предприятиям обнаруживать, исследовать и реагировать на расширенные атаки в своих сетях. Политики диспетчера конфигурации могут помочь вам на борту и отслеживать Windows 10 или более поздних клиентов.
Предварительные требования
Поддерживаемые клиентские операционные системы
Вы можете на борту следующих операционных систем:
О перенаправлении в Microsoft Defender для конечной точки с помощью диспетчера конфигурации
Различные операционные системы имеют различные потребности для вклиниации в Microsoft Defender для конечной точки. Windows 8.1 и другим устройствам операционной системы на уровне ниже уровня необходимо иметь на борту клавишу Workspace и ID рабочей области. Устройствам с высоким уровнем, например Windows Server версии 1803, необходим файл конфигурации для бортовой настройки. Диспетчер конфигурации также устанавливает Microsoft Monitoring Agent (MMA) при необходимости с помощью бортовых устройств, но не обновляет агент автоматически.
Операционные системы высокого уровня включают в себя:
Операционные системы на уровне ниже:
В настоящее время современный, объединенный Microsoft Defender для конечной точки для Windows Server 2012 R2 & 2016 г. находится в публичном доступе. Диспетчер конфигурации версии 2107 с обновлением поддерживает конфигурацию с Endpoint Protection политиками, включая политики, созданные в центре администрирования Microsoft Endpoint Manager с помощью присоединений клиента. Дополнительные сведения о развертывании предварительного просмотра см. в сценариях миграции сервера.
Когда вы включаете устройства в Microsoft Defender для конечной точки с помощью Configuration Manager, вы развертываете политику Defender в целевой коллекции или нескольких коллекциях. Иногда целевая коллекция содержит устройства с любым числом поддерживаемых операционных систем. Инструкции по включению этих устройств зависят от того, ориентирована ли на коллекцию устройств с операционными системами, которые только на уровне, или если в коллекцию также входят клиенты на более высоком уровне.
Если в вашей целевой коллекции содержатся устройства с уровнем ниже уровня, и вы используете инструкции для вовсю использовать только устройства высокого уровня, то устройства на уровне ниже не будут на борту. Необязательный ключ Рабочей области и поля ID рабочего пространства используются для включательных устройств на уровне, но если они не включены, политика не будет работать для клиентов на уровне ниже.
В Configuration Manager 2006 или ранее:
Onboard devices with any supported operating system to Microsoft Defender for Endpoint (recommended)
Вы можете использовать все поддерживаемые операционные системы в Microsoft Defender для конечной точки, предоставив диспетчеру конфигурации файл конфигурации, ключ Workspace и ID рабочего пространства.
Получите файл конфигурации, ID рабочего пространства и ключ рабочего пространства
Выберите Параметры, а затем выберите «Onboarding» в заголовке Endpoints.
Для операционной системы выберите Windows 10 и 11.
Выберите Microsoft Endpoint Configuration Manager ветвь, а затем для метода развертывания.
Нажмите кнопку Скачать пакет.
Скачайте сжатый архив (.zip) и извлеките содержимое.
Выберите Параметры, а затем выберите «Onboarding» под заголовком Управление устройствами.
Для операционной системы выберите Windows 7 SP1 и 8.1 или Windows Server 2008 R2 Sp1, 2012 R2 и 2016 из списка.
Скопируйте значения для ключа рабочей области и ИД рабочего пространства из раздела Настройка подключения.
Файл конфигурации Microsoft Defender для конечной точки содержит конфиденциальные сведения, которые должны быть защищены.
На борту устройств
В консоли Configuration Manager перейдите к политикам atP assets and Compliance > Endpoint Protection > Microsoft Defender.
Выберите Создать политику ATP защитника Майкрософт, чтобы открыть мастер политики.
Введите имя и описание для политики Microsoft Defender для конечной точки и выберите onboarding.
Поставляем клавишу Workspace и ID рабочего пространства, а затем нажмите кнопку Далее.
Укажите образцы файлов, которые собираются и делятся с управляемых устройств для анализа.
Просмотрите сводку и завершите мастер.
Щелкните правой кнопкой мыши созданную политику, а затем выберите Развертывание, чтобы нацелить политику Microsoft Defender для конечных точек для клиентов.
На борту устройств, работающих только на уровне операционных систем в Microsoft Defender для Endpoint
Для работы с microsoft Defender для конечной точки клиентам требуется файл конфигурации для бортовой настройки. Операционные системы высокого уровня включают в себя:
Если в вашей целевой коллекции содержатся как устройства высокого уровня, так и устройства на уровне ниже уровня, или если вы не уверены, используйте инструкции для бортовых устройств, работающих с любой поддерживаемой операционной системой (рекомендуется).
Получите файл конфигурации для устройств с высоким уровнем
На борту устройств с высоким уровнем
Мониторинг
В консоли Configuration Manager перейдите по безопасности мониторинга и выберите > ATP Microsoft Defender.
Просмотрите панель мониторинга Microsoft Defender для конечной точки.
Состояние onboarding агента ATP Защитника Майкрософт: количество и процент управляемых клиентских компьютеров с активной политикой Microsoft Defender для конечных точек
Microsoft Defender ATP Agent Health: Процент клиентов компьютеров, сообщив о состоянии их агента Microsoft Defender для конечных точек
Состояние агента. Системная служба агента в Windows не запущена
Создание файла конфигурации offboarding
Выберите Параметры, а затем выберите Offboarding под заголовком Endpoint.
Выберите Windows 10 и 11 для операционной системы и Microsoft Endpoint Configuration Manager текущей ветви, а затем для метода развертывания.
Скачайте сжатый архив (.zip) и извлеките содержимое. Файлы offboarding действительны в течение 30 дней.
В консоли Configuration Manager перейдите к политикам atP в области активов и соответствия требованиям Endpoint Protection Microsoft Defender и выберите Создать политику > > ATP защитника Майкрософт. Откроется мастер политик.
Введите имя и описание для политики Microsoft Defender для конечной точки и выберите Offboarding.
Просмотрите сводку и завершите мастер.
Выберите Развертывание, чтобы нацелить политику Microsoft Defender для конечных точек для клиентов.
Файлы конфигурации Microsoft Defender для конечной точки содержат конфиденциальную информацию, которая должна быть защищена.
В Windows 7 и 8.1 появилась функция Windows Defender ATP, доступная ранее только для Windows 10
Впервые технология расширенной защита от угроз Advanced Threat Protection в Защитнике Windows (Windows Defender ATP) была представлена в обновлении Fall Creators Update для Windows 10. На тот момент функция была доступна исключительно для операционных систем Windows 10.
Несколько месяцев спустя, Microsoft официально объявила о добавлении Windows Defender ATP в более старые версии Windows – Windows 7 и 8.1. Однако, первоначальные планы по выпуску предварительной версии весной 2018 года и финальной версии летом 2018 года не состоялись. Редмонд смог выпустить предварительную версию в 2018 году, но дата общей доступности механизма защиты была отложена.
На прошлой неделе компания объявила, что функция безопасности теперь доступна для организаций, использующих устройства Windows 7 и Windows 8.1.
События Windows Defender ATP стали отображаться в Центре безопасности Защитника Windows, в центральной административной панели для управления рабочими станциями.
Windows Defender ATP для Windows 7 и Windows 8.1 обеспечивает тщательное и глубокое наблюдение за действиями на рабочих станциях. Компонент анализирует процессы, файлы, сеть, реестр и операции с памятью, предоставляя инженерам безопасности всю необходимую информацию для понимания действий угроз, происходящих на старых версиях Windows.
Advanced Threat Protection доступен только в версиях Enterprise и Pro. Функцию безопасности можно использовать в Windows 7 Service Pack 1 Pro или Enterprise и в Windows 8.1 Pro или Enterprise.
Для работы компонента требуется System Center Endpoint Protection или установка Microsoft Monitoring Agent (MMA).
Администраторы могут получить дополнительную информацию в руководстве по подключению функции.
Зачем Microsoft добавила ATP в предыдущие версии Windows?
Когда Windows 10 была выпущена в 2015 году, Microsoft сделала некоторые функции эксклюзивными для этой ОС. Такие функции, как Microsoft Edge, поддержка определенного оборудования и уникальные функции безопасности не были портированы в предыдущие версии Windows.
В некоторых случаях функции стали доступны в операционных системах, не разрабатываемых Microsoft – например, в Android.
Microsoft заявляет, что, добавляя поддержку ATP в предыдущие версии Windows, компания «помогает клиентам поддерживать высокий уровень безопасности при переходе на Windows 10».
Напомним, что поддержка Microsoft Windows 7 завершится в январе 2020 года. Корпоративные клиенты смогут продлить поддержку максимум на три года на платной основе. Цена продления с каждым годом будет удваиваться и за третий год организациям нужно будет отдать 200 долларов за одно рабочее место Windows 7 Pro.
Таким образом, корпоративные клиенты смогут использовать Windows 7 до 2023 года. Поддержка Windows 8.1 завершится в январе 2023 года, но на данный момент компания не объявляла об аналогичной программе платного продления поддержки для данной системы. Возможно, данная опция станет доступна позже.
Служба Advanced Threat Protection в Защитнике Windows
В начале февраля мы рассказывали вам про обнаружение преступников с помощью службы ATP в Защитнике Windows. В комментариях появились различные вопросы, относительно работы службы, поэтому мы решили поделиться подробным описанием её функционала.
Если говорить коротко, то Служба ATP в Защитнике Windows — это служба безопасности, с помощью которой можно обнаруживать в своих сетях угрозы безопасности, исследовать их и принимать ответные меры. Служба работает на основе встроенной в Windows 10 комбинации технологий и облачной службы Microsoft. К таким технологиям относятся:
Возможности службы по исследованию хостов позволяют получить подробные оповещения, понять характер и масштаб возможного вторжения.
Служба ATP в Защитнике Windows работает с различными технологиями Windows по обеспечению безопасности:
Обзор портала Advanced Threat Protection в Защитнике Windows
Для мониторинга и ответных действий на угрозы можно использовать портал ATP. Он решает следующие задачи:
С настройками всё вполне очевидно.
В Панели навигации доступны такие представления как:
В разделе управление хостами можно скачать пакет для подготовки машин к работе с ATP.
Служба ATP и использует следующие условные обозначения:
Оповещение — сообщение об активности, которая коррелирует с атаками повышенной сложности.
Обнаружение — признак обнаруженной угрозы вредоносного программного обеспечения.
Активная угроза — угрозы, которые активно исполнялись на момент обнаружения.
Устранено — угроза удалена с компьютера.
Не устранено — угроза не удалена с компьютера.
В общем виде подход к исследованию бреши в системе безопасности при помощи ATP можно разбить на следующие этапы:
Просмотр информационной панели службы Advanced Threat Protection в Защитнике Windows
Так как работу с ATP мы начинаем с анализа данных на информационной панели, рассмотрим её более подробно. Данные об оповещениях и компьютерах позволяют быстро установить факт, место и время подозрительной активности в сети — это дает необходимый контекст для понимания ситуации. Здесь также отображается сводка данных о событиях, помогающая идентифицировать значимые события или поведение на компьютере. Также можно открыть подробные сведения о событиях и индикаторах на более низком уровне. Активные плитки дают визуальные подсказки, позволяющие оценить общее состояние систем безопасности. При щелчке по такой плитке открывается подробное представление соответствующего компонента.
Оповещения службы ATP
При щелчке по плитке Оповещения ATP отображается общее количество активных оповещений службы ATP в сети за последние 30 дней. Оповещения распределены на две группы: Новые и Выполняющиеся.
Каждая группа имеет подкатегории по уровням серьёзности. Щелкнув по числу внутри каждого можно вывести представление очереди соответствующей категории.
Компьютеры, подвергающиеся риску
На этой плитке показан список компьютеров с наибольшим количеством активных оповещений. Общее число оповещений для каждого компьютера показано в круге рядом с именем компьютера. С противоположной стороны плитки представлено количество оповещений, сгруппированных по уровням серьёзности. Не сложно догадаться, что темный цвет это более опасные, а более светлый – менее.
Плитка Статус содержит информацию о том, активна ли служба и имеются ли проблемы, а также о количестве компьютеров, которые направляли отчеты в службу в течение последних 30 дней.
Плитка Отчёты от компьютеров содержит гистограмму, на которой представлено количество компьютеров, отправлявших оповещения, по дням. Увидеть точное число компьютеров, отправлявших оповещения в определенный день, можно наведя курсор на отдельные столбцы гистограммы.
Компьютеры с обнаруженными активными вредоносными программами
Плитка Компьютеры с обнаруженными активными вредоносными программами отображается, только если в ваших конечных точках используется Защитник Windows. Под активной вредоносной программой понимаются угрозы, которые активно исполнялись на момент обнаружения. Наведя курсор мыши на каждый из столбцов, можно увидеть количество обнаруженных активных вредоносных программ и количество хостов, на которых в течение последних 30 дней была обнаружена хотя бы одна активная вредоносная программа.
В схеме представлено пять категорий вредоносного ПО:
Щёлкнув по любой из этих категорий, можно перейти к представлению Компьютеры, где данные будут отфильтрованы для соответствующей категории. Так можно получить подробные сведения о том, на каких компьютерах обнаружены активные вредоносные программы и сколько угроз зарегистрировано на каждом из них.
Просмотр и упорядочение очереди оповещений Advanced Threat Protection
Управлять оповещениями службы ATP в Защитнике Windows можно в рамках регулярных ежедневных задач. Оповещения выстраиваются в очереди в соответствии с текущим статусом.По умолчанию оповещения в очереди сортируются в порядке от последних к самым старым.В следующей таблице и на снимке экрана приведены основные области Очереди оповещений.