说明设备操作
调查设备时,可以执行操作、收集数据或远程访问计算机。 Defender for Endpoint 可提供所需的设备控制。
你可以执行以下控制操作:
隔离设备
限制应用执行
运行防病毒扫描
你可以执行以下调查操作:
启动自动调查
收集调查程序包
启动实时响应会话
“操作中心”提供对设备或文件执行的操作的相关信息。
将设备与网络隔离
根据攻击的严重性和设备的敏感度,你可能希望将设备与网络隔离。 此操作可以帮助防止攻击者控制受攻击的设备以及执行进一步的活动,例如数据外泄和横向移动。
此设备隔离功能可将受攻击的设备与网络断开连接,同时保持与 Defender for Endpoint 服务的连接,该服务会继续监视该设备。
在 Windows 10 版本 1709 或更高版本上,你将拥有对网络隔离级别的另一种控制。 此外,还可以选择启用 Outlook、Microsoft Teams 和 Skype for Business 连接(也称为“选择性隔离”)。
在“设备”页上选择“隔离设备”后,键入注释并选择“确认”。 “操作中心”将显示扫描信息,设备时间线将包含一个新事件。
隔离设备时,系统会显示一条通知,告知用户该设备正在与网络隔离。
限制应用执行
除了通过停止恶意进程来遏制攻击之外,还可以锁定设备并防止潜在恶意程序的后续尝试运行。
重要
此操作适用于 Windows 10 版本 1709 或更高版本上的设备。 如果组织使用 Microsoft Defender 防病毒,则可以使用此功能。 此操作需要满足 Windows Defender 应用程序控制代码完整性策略格式和签名要求。 若要限制应用程序运行,可应用代码完整性策略,该策略仅允许文件在由 Microsoft 颁发的证书签名的情况下运行。 此限制方法可帮助防止攻击者控制受攻击的设备以及执行进一步的恶意活动。
你将能够随时撤销限制应用程序运行。 “设备”页上的按钮将更改为“删除应用限制”,然后执行与限制应用执行相同的步骤。
在“设备”页上选择“限制应用执行”后,键入注释并选择“确认”。 “操作中心”将显示扫描信息,设备时间线将包含一个新事件。
当某个应用受到限制时,系统会显示一条通知,告知用户该应用受到限制而无法运行。