說明裝置動作
調查裝置時,您可以執行動作、收集資料,或從遠端存取機器。 適用於端點的 Defender 會提供所需的裝置控制項。
您可以執行下列內含項目動作:
隔離裝置
限制應用程式執行
執行防毒軟體掃描
您可以執行下列調查動作:
起始自動化調查
收集調查套件
起始即時回應工作階段
動作中心會提供對裝置或檔案所採取動作的相關資訊。
將裝置與網路隔離
根據攻擊的嚴重性和裝置的敏感度,您可以將裝置與網路隔離。 此動作可協助防止攻擊者控制遭入侵的裝置並執行進一步的活動,例如,資料外流和橫向移動。
此裝置隔離功能會中斷遭入侵裝置與網路的連線,同時維持與適用於端點的 Defender 服務的連線,而後者會繼續監視裝置。
在 Windows 10 版本 1709 或更新版本上,您將對網路隔離等級進行另一種控制。 您也可以選擇啟用 Outlook、Microsoft Teams 和商務用 Skype 連線能力 (亦稱為「選擇性隔離」)。
在裝置頁面上選取 [隔離裝置] 之後,輸入註解,然後選取 [確認]。 動作中心將顯示掃描資訊,而裝置時間軸將包含新的事件。
隔離裝置時,會顯示一則通知,告知使用者,已將裝置與網路隔離。
限制應用程式執行
除了藉由停止惡意程序來遏制攻擊之外,您也可以鎖定裝置,並防止後續潛在惡意程式的執行嘗試。
重要
此動作適用於安裝 Windows 10 版本 1709 或更新版本的裝置。 如果您的組織使用 Microsoft Defender 防毒軟體,就能使用此功能。 此動作需要符合 Windows Defender 應用程式控制程式碼完整性原則格式和簽署需求。 為了限制應用程式執行,系統會套用程式碼完整性原則,只有在檔案是由 Microsoft 發行的憑證簽署時,才允許執行這些檔案。 這種限制方法可協助防止攻擊者控制遭入侵的裝置,並進一步執行惡意活動。
您隨時都能撤銷對應用程式執行的限制。 [裝置] 頁面上的按鈕將會變更為 [移除應用程式限制],然後您可以採取與限制應用程式執行相同的步驟。
在裝置頁面上選取 [限制應用程式執行] 之後,輸入註解,然後選取 [確認]。 動作中心將顯示掃描資訊,而裝置時間軸將包含新的事件。
當應用程式受到限制時,系統會顯示通知,告知使用者應用程式受到限制而無法執行。