Windows Defender Advanced Threat Protection — что это за программа и нужна ли она? (MsSense.exe)

Приветствую друзья!

Сегодня мы поговорим о программе Windows Defender Advanced Threat Protection — узнаем что она из себя представляет, зачем нужна. Поехали!

Windows Defender Advanced Threat Protection — что это?

Windows Defender Advanced Threat Protection (ATP) — агент защитника Windows, представляющий единую платформу превентивной защиты, обнаружения взломов, автоматического изучения и устранения (так понимаю угроз). Вот такая официальная информация содержится на сайте Майкрософт.

Если короткой — Windows Defender Advanced Threat Protection это некий компонент виндовского защитника, обеспечивающий дополнительную защиту.

Также на офф сайте сказано — этот агент защищает ваш бизнес от сложных угроз. Возможно данная защита больше направлена на коммерческие ПК, чем на домашние. Например этой защитой пользуются компании DB Schenker, Metro CSG, Emirates Airlines, MSC Mediterranean Shipping Company и другие компании. Разумеется все довольны, их отзывы есть на офф сайте Microsoft.

Основные возможности

Давайте попробуем понять основные возможности этой защиты — просто инфа в интернете как бы есть, но она раскидана и расплывчата. Я буду опираться на офф сайт Microsoft.

1. Установка не требуется, нет проблем с совместимостью, постоянное обновление, размещается в облаке. Видимо имеется ввиду что это облачный сервис, поддерживает все актуальные версии Windows, данные постоянно обновляются.
2. Функции мониторинга — позволяют детально изучить процесс защиты, угрозы, получить всю подробную информацию. Поддерживается взаимодействие с с Intelligent Security Graph (Microsoft).
3. Автоматическая защита — время от предупреждения до устранения угрозы может занимать считанные минуты. Все как бы хорошо, но мне кажется, что реакция должна быть быстрее, или не?
4. Синхронизация — поддерживается распространение информации в Microsoft 365 на все устройства, всем пользователям для ускорения ответных мер. Скорее всего это касается устройств/юзеров, которые подключены к одной сети, например корпоративной. Либо к одной какой-то сетевой группе.
5. Помогает защитить конечные точки от кибер-угроз, обнаруживает сложные атаки, утечки данных, автоматизирует процесс реагирования, повышает общую безопасность. Агент ATP сертифицирован в соответствии со стандартом ISO 27001.
6. Устраняет уязвимые области (в числе и уязвимость нулевого дня), тем самым предотвращая использование их вирусами и хакерами при атаках.
7. The Intelligent Security Graph (ISG) — обеспечивает данными, которые необходимы при защите от самых сложных видов угроз — вирусного ПО, бесфайловых и прочих видов атак.
8. Присутствует функция отслеживания поведения, использующая машинное обучение для обнаружения атак. В наличии инструмент SecOps для исследования угроз.
9. Поддержка системы репутации файлов и веб-сайтов. Хакерские сайты, мошеннические, и просто файлы, зараженные вирусом — будут обнаруживаться, пользователь будет предупрежден.
10. Антивирус на базе облачных технологий защищает от известных и неизвестных угроз.

Это только основные возможности. О всех писать нет смысла — не всем они будут понятны, разве что только системным администраторами. Смотря что умеет эта защита, можно делать вывод — она точно излишня для домашних, обычных юзеров. Вирусы, которым способна дать отпор данная защита — просто не водятся на обычных ПК.

Поддерживаемые операционки

Семейство	Название
Windows Servers	Windows Server 2016, Windows Server 2012 R2
Поддерживаемые версии Windows	Windows 10, Windows 8.1, Windows 7 SP1
Другие платформы (через партнеров)	Android, iOS, macOS, Linux

В общем ребята — не вижу смысла вас дальше грузить этой инфой. Думаю всем все понятно — Windows Defender Advanced Threat Protection это инструмент, направлен на обеспечение повышенной безопасности, которая нужна больше бизнесу, чем обычному домашнему ПК. Кроме бизнеса, может использовать думаю в:

• Организациях, например где проводятся финансовые операции.
• Банки, их филиалы, отделения.
• Учебные учреждения.
• В разных компаниях.

Снова вывод — используется там, где данные на ПК имеют особую ценность. То есть даже вы дома можете использовать эту защиту, если у вас.. например мега ценная инфа финансового характера.

Windows Defender Advanced Threat Protection — внешний вид

Давайте посмотрим на эту программу — ее внешний вид, интерфейс.

Вот собственно часть админки:

Видим, что есть много кнопок, функция, чтобы контролировать безопасность в реальном времени. Я так понимаю что на главной странице будет отображена самая важная инфа, вот на картинке выше пример — написано Malicious memory artifacts found, что означает — найдены вредоносные артефакты памяти.

Я так понимаю что всю аналитику, мониторинг, наблюдение — можно вести в интернете:

Видим графики, всякие диаграммы.. А вот само меню админки:

Как видим — полный отчет о действиях, всякие настройки, лог оповещений.. думаю для домашнего юзера это будет слишком сложным да и лишним делом.. все это следить, проверять..

Отключение

Оказывается существует служба — Windows Defender Advanced Threat Protection Service, сервисное/внутреннее название которой — Sense. Русское название такое — Служба Advanced Threat Protection в Защитнике Windows:

В описании так и сказано — помогает защитить от дополнительных угроз посредством наблюдения и отчетности о событиях.

На скриншоте видно — кнопка Запустить активна, меню Тип запуска — тоже активно. Не заблокировано. Значит можно в целях эксперимента эту службу отключить, если например эта защита вызывает нагрузку на ПК, либо компьютер просто тормозит.

Отключить службу просто:

1. Два раза нажимаем по службе.
2. Нажимаем кнопку Остановить.
3. В менюшке Тип запуска выбираем Отключена (чтобы она потом сама не запускалась).

Запустить окно со списком служб тоже просто:

1. Зажимаем Win + R, появится окошко Выполнить.
2. Пишем команду services.msc.
3. Откроется окно где будут перечислены все службы — как виндовские, так и сторонние.

Папка

Кстати, у меня оказалось тоже есть эта служба! И она у меня отключена:

Кстати работает служба под процессом MsSense.exe.

Но кроме службы также нашел папку эту:

C:\Program Files\Windows Defender Advanced Threat Protection

Внутри файлы, которые.. думаю используются защитой, по крайней мере вижу MsSense.exe, под которым работает служба. Файлы SenseSampleUploader.exe и SenseCncProxy.exe очень похожи на компоненты, связанные с обновлением и работой прокси.

Заключение

Мы сегодня пообщались немного о продвинутой защите, которая:

• Предназначена скорее всего для бизнеса, корпоративных компаний, где нужна повышенная защита данных.
• Обычным юзерам — вряд ли нужна.
• Опция отключения — доступна. Значит можно попробовать отключить. Думаю точку восстановления перед этим создавать необязательно.. хотя можно и создать — делов то на 1 сек..

Надеюсь информация пригодилась. Удачи и добра! До новых встреч!

Threat Protection

Applies to:

Microsoft Defender for Endpoint is a unified platform for preventative protection, post-breach detection, automated investigation, and response. Defender for Endpoint protects endpoints from cyber threats, detects advanced attacks and data breaches, automates security incidents, and improves security posture.

Applies to:

Enable your users to access cloud services and on-premises applications with ease and enable modern management capabilities for all devices. For more information, see Secure your remote workforce.

Microsoft Defender for Endpoint

Threat & vulnerability management
This built-in capability uses a game-changing risk-based approach to the discovery, prioritization, and remediation of endpoint vulnerabilities and misconfigurations.

Attack surface reduction
The attack surface reduction set of capabilities provide the first line of defense in the stack. By ensuring configuration settings are properly set and exploit mitigation techniques are applied, these set of capabilities resist attacks and exploitation.

Next-generation protection
To further reinforce the security perimeter of your network, Microsoft Defender for Endpoint uses next-generation protection designed to catch all types of emerging threats.

Endpoint detection and response
Endpoint detection and response capabilities are put in place to detect, investigate, and respond to intrusion attempts and active breaches. With Advanced hunting, you have a query-based threat-hunting tool that lets your proactively find breaches and create custom detections.

Automated investigation and remediation
In addition to quickly responding to advanced attacks, Microsoft Defender for Endpoint offers automated investigation and remediation capabilities that help reduce the volume of alerts in minutes at scale.

Microsoft Threat Experts
Microsoft Defender for Endpoint’s new managed threat hunting service provides proactive hunting, prioritization, and additional context and insights. Microsoft Threat Experts further empowers Security Operation Centers (SOCs) to identify and respond to threats quickly and accurately.

Centralized configuration and administration, APIs
Integrate Microsoft Defender for Endpoint into your existing workflows.

Integration with Microsoft solutions
Microsoft Defender for Endpoint directly integrates with various Microsoft solutions, including:

• Intune
• Microsoft Defender for Office 365
• Microsoft Defender for Identity
• Azure Defender
• Skype for Business
• Microsoft Cloud App Security

Microsoft 365 Defender
With Microsoft 365 Defender, Microsoft Defender for Endpoint and various Microsoft security solutions form a unified pre- and post-breach enterprise defense suite that natively integrates across endpoint, identity, email, and applications to detect, prevent, investigate, and automatically respond to sophisticated attacks.

Что такое защитник Виндовс и как отключить Defender в Windows 7, 8/8.1 и 10?

Утилита Windows Defender функционирует самостоятельно и предназначена для защиты компьютера пользователя от вредоносных приложений и троянов. Утилита работает до установки пользователем в ПК стороннего антивирусного программного обеспечения. Но такое благородство от Windows Defender происходит редко и часто владельцу ПК требуется самому отключить его.

Еще бывает, что установленный по умолчанию антивирусник ОС просто не позволяет скачать и сохранить в памяти ПК заведомо безопасный файл. В этой статье приведена подробная инструкция об отключении встроенной утилиты в Виндовс 7, 8/8.1 и 10. Поэтому такое руководство будет полезно людям, у которых возникли проблемы при инсталляции какого-либо приложения из-за запрета этого действия антивирусной программой операционной системы или в других подобных случаях.

Как отключить защитник в Виндовс 7, 8.1 и 10?

При наличии детальной инструкции процедура деактивации Windows Defender ни для кого не составит труда. Просто необходимо внимательно следовать описанным ниже руководствам.

Как деактивировать в Виндовс 7?

Чтобы избавиться от действий назойливой программы в «Семерке» требуется сделать следующие последовательные шаги:

1. Через «Пуск» открыть «Панель управления»;
2. Далее в «Windows Defender»;
3. Затем кликнуть на «Программы»;
4. В отобразившемся окошке нажать на «Параметры»;
5. Убрать отметку с пункта «Автоматически проверять ПК»;
6. Потом щелкнуть на «Сохранить».

После этого надо деактивировать автозагрузку приложения. Для этого выполнить следующий алгоритм действий:

1. В «Пуск» найти «Компьютер» и вызвать на нем контекстное меню;
2. Кликнуть на строчку «Управление»;
3. Перейти в «Службы и приложения» и потом в «Службы»;
4. Вызвать контекстное меню на «Windows Defender» и щелкнуть по строчке «Свойства»;
5. В появившемся окошке в пункте «Тип запуска» установить «Отключить»;
6. Далее в разделе «Состояние» кликнуть на «Остановить»;
7. Щелкнуть на кнопку «Применить;
8. Выйти из меню нажав на «Ok»;
9. Готово! После перезапуска ПК программа будет не активна.

Как отключить в Виндовс 8 и 10?

Сначала необходимо войти в «Панель управления». Для этого следует выполнить следующие действия:

1. Установить курсор вниз дисплея (правый угол) и в отобразившемся меню нажать на «Параметры»;
2. Выбрать «Панель управления»;
3. В появившемся перечне найти «Windows Defender» и войти в него.

В случае когда в появившемся окне отображается надпись о неактивности Защитника, то значит Windows Defender отключать не требуется, т. к. это сделала антивирусная программа либо другой человек, имеющий доступ к ПК.

Иначе необходимо приступить к выполнению пунктов нижеуказанных инструкций.

Процедура деактивации Windows Defender в «Восьмерке»

Отключить защитник в «Восьмерке» значительно проще, чем в новой ОС с индексом 10. Следует сделать следующие шаги:

1. В «Панели управления» щелкнуть на «Windows Defender»;
2. Потом пройти в «Параметры»;
3. Перейти во вкладку «Администратор»;
4. Далее убрать отметку на строке «Включить приложение»;
5. Затем щелкнуть «Сохранить».

Процедура деактивации Windows Defender в «Десятке»

Отключить Защитник в Виндовс 10 значительно труднее, чем во всех более ранних версиях ОС. С этой целью надо выполнить следующие действия:

1. В окне «Параметры» установить ползунок на пункте «Защита в реальном времени» в положение «Отключить»;
2. Готово! Защитник временно деактивирован. Через четверть часа он самостоятельно активируется.

Теперь у пользователя есть 15 минут для установки необходимой ему программы или сохранения в памяти ПК файла из интернета. Но, что делать, если владельцу ПК требуется отключить встроенную защиту навечно? Далее изложена инструкция именно для таких пользователей.

Выключение встроенной защиты в Виндовс 10 навсегда

Для этого требуется выполнить следующий алгоритм действий:

1. Удерживая «Win» нажать на «R»;
2. В отобразившемся окне набрать «gpedit.msc»;
3. Кликнуть на «Ok»;
4. Затем открыть «Конфигурация устройства»;
5. Далее перейти в «Административные шаблоны»;
6. Войти в «Компоненты операционной системы»;
7. Потом открыть «Endpoint Protection»;
8. В появившемся перечне найти «Endpoint Protection» и войдя установить отметку на строчке «Включено»;
9. Кликнуть на «Ok»;
10. Закрыть окно.

Готово! Защитник ОС теперь не функционирует.