Windows Defender Advanced Threat Protection — что это за программа и нужна ли она? (MsSense.exe)

Приветствую друзья!

Сегодня мы поговорим о программе Windows Defender Advanced Threat Protection — узнаем что она из себя представляет, зачем нужна. Поехали!

Windows Defender Advanced Threat Protection — что это?

Windows Defender Advanced Threat Protection (ATP) — агент защитника Windows, представляющий единую платформу превентивной защиты, обнаружения взломов, автоматического изучения и устранения (так понимаю угроз). Вот такая официальная информация содержится на сайте Майкрософт.

Если короткой — Windows Defender Advanced Threat Protection это некий компонент виндовского защитника, обеспечивающий дополнительную защиту.

Также на офф сайте сказано — этот агент защищает ваш бизнес от сложных угроз. Возможно данная защита больше направлена на коммерческие ПК, чем на домашние. Например этой защитой пользуются компании DB Schenker, Metro CSG, Emirates Airlines, MSC Mediterranean Shipping Company и другие компании. Разумеется все довольны, их отзывы есть на офф сайте Microsoft.

Основные возможности

Давайте попробуем понять основные возможности этой защиты — просто инфа в интернете как бы есть, но она раскидана и расплывчата. Я буду опираться на офф сайт Microsoft.

1. Установка не требуется, нет проблем с совместимостью, постоянное обновление, размещается в облаке. Видимо имеется ввиду что это облачный сервис, поддерживает все актуальные версии Windows, данные постоянно обновляются.
2. Функции мониторинга — позволяют детально изучить процесс защиты, угрозы, получить всю подробную информацию. Поддерживается взаимодействие с с Intelligent Security Graph (Microsoft).
3. Автоматическая защита — время от предупреждения до устранения угрозы может занимать считанные минуты. Все как бы хорошо, но мне кажется, что реакция должна быть быстрее, или не?
4. Синхронизация — поддерживается распространение информации в Microsoft 365 на все устройства, всем пользователям для ускорения ответных мер. Скорее всего это касается устройств/юзеров, которые подключены к одной сети, например корпоративной. Либо к одной какой-то сетевой группе.
5. Помогает защитить конечные точки от кибер-угроз, обнаруживает сложные атаки, утечки данных, автоматизирует процесс реагирования, повышает общую безопасность. Агент ATP сертифицирован в соответствии со стандартом ISO 27001.
6. Устраняет уязвимые области (в числе и уязвимость нулевого дня), тем самым предотвращая использование их вирусами и хакерами при атаках.
7. The Intelligent Security Graph (ISG) — обеспечивает данными, которые необходимы при защите от самых сложных видов угроз — вирусного ПО, бесфайловых и прочих видов атак.
8. Присутствует функция отслеживания поведения, использующая машинное обучение для обнаружения атак. В наличии инструмент SecOps для исследования угроз.
9. Поддержка системы репутации файлов и веб-сайтов. Хакерские сайты, мошеннические, и просто файлы, зараженные вирусом — будут обнаруживаться, пользователь будет предупрежден.
10. Антивирус на базе облачных технологий защищает от известных и неизвестных угроз.

Это только основные возможности. О всех писать нет смысла — не всем они будут понятны, разве что только системным администраторами. Смотря что умеет эта защита, можно делать вывод — она точно излишня для домашних, обычных юзеров. Вирусы, которым способна дать отпор данная защита — просто не водятся на обычных ПК.

Поддерживаемые операционки

Семейство	Название
Windows Servers	Windows Server 2016, Windows Server 2012 R2
Поддерживаемые версии Windows	Windows 10, Windows 8.1, Windows 7 SP1
Другие платформы (через партнеров)	Android, iOS, macOS, Linux

В общем ребята — не вижу смысла вас дальше грузить этой инфой. Думаю всем все понятно — Windows Defender Advanced Threat Protection это инструмент, направлен на обеспечение повышенной безопасности, которая нужна больше бизнесу, чем обычному домашнему ПК. Кроме бизнеса, может использовать думаю в:

• Организациях, например где проводятся финансовые операции.
• Банки, их филиалы, отделения.
• Учебные учреждения.
• В разных компаниях.

Снова вывод — используется там, где данные на ПК имеют особую ценность. То есть даже вы дома можете использовать эту защиту, если у вас.. например мега ценная инфа финансового характера.

Windows Defender Advanced Threat Protection — внешний вид

Давайте посмотрим на эту программу — ее внешний вид, интерфейс.

Вот собственно часть админки:

Видим, что есть много кнопок, функция, чтобы контролировать безопасность в реальном времени. Я так понимаю что на главной странице будет отображена самая важная инфа, вот на картинке выше пример — написано Malicious memory artifacts found, что означает — найдены вредоносные артефакты памяти.

Я так понимаю что всю аналитику, мониторинг, наблюдение — можно вести в интернете:

Видим графики, всякие диаграммы.. А вот само меню админки:

Как видим — полный отчет о действиях, всякие настройки, лог оповещений.. думаю для домашнего юзера это будет слишком сложным да и лишним делом.. все это следить, проверять..

Отключение

Оказывается существует служба — Windows Defender Advanced Threat Protection Service, сервисное/внутреннее название которой — Sense. Русское название такое — Служба Advanced Threat Protection в Защитнике Windows:

В описании так и сказано — помогает защитить от дополнительных угроз посредством наблюдения и отчетности о событиях.

На скриншоте видно — кнопка Запустить активна, меню Тип запуска — тоже активно. Не заблокировано. Значит можно в целях эксперимента эту службу отключить, если например эта защита вызывает нагрузку на ПК, либо компьютер просто тормозит.

Отключить службу просто:

1. Два раза нажимаем по службе.
2. Нажимаем кнопку Остановить.
3. В менюшке Тип запуска выбираем Отключена (чтобы она потом сама не запускалась).

Запустить окно со списком служб тоже просто:

1. Зажимаем Win + R, появится окошко Выполнить.
2. Пишем команду services.msc.
3. Откроется окно где будут перечислены все службы — как виндовские, так и сторонние.

Папка

Кстати, у меня оказалось тоже есть эта служба! И она у меня отключена:

Кстати работает служба под процессом MsSense.exe.

Но кроме службы также нашел папку эту:

C:\Program Files\Windows Defender Advanced Threat Protection

Внутри файлы, которые.. думаю используются защитой, по крайней мере вижу MsSense.exe, под которым работает служба. Файлы SenseSampleUploader.exe и SenseCncProxy.exe очень похожи на компоненты, связанные с обновлением и работой прокси.

Заключение

Мы сегодня пообщались немного о продвинутой защите, которая:

• Предназначена скорее всего для бизнеса, корпоративных компаний, где нужна повышенная защита данных.
• Обычным юзерам — вряд ли нужна.
• Опция отключения — доступна. Значит можно попробовать отключить. Думаю точку восстановления перед этим создавать необязательно.. хотя можно и создать — делов то на 1 сек..

Надеюсь информация пригодилась. Удачи и добра! До новых встреч!

Microsoft Defender Advanced Threat Protection

Applies to: Configuration Manager (current branch)

Endpoint Protection can help manage and monitor Microsoft Defender Advanced Threat Protection (ATP) (formerly known as Windows Defender ATP). Microsoft Defender ATP helps enterprises detect, investigate, and respond to advanced attacks on their networks. Configuration Manager policies can help you onboard and monitor Windows 10 clients.

Microsoft Defender ATP is a service in the Microsoft Defender Security Center. By adding and deploying a client onboarding configuration file, Configuration Manager can monitor deployment status and Microsoft Defender ATP agent health. Microsoft Defender ATP is supported on PCs running the Configuration Manager client or managed by Microsoft Intune.

Prerequisites

• Subscription to the Microsoft Defender Advanced Threat Protection online service
• Clients computers running the Configuration Manager client
• Clients using an OS listed in the Supported client operating systems section below.

Supported client operating systems

Based on the version of Configuration Manager you’re running, the following client operating systems can be onboarded:

Configuration Manager version 1910 and prior

• Clients computers running Windows 10, version 1607 and later

Configuration Manager version 2002 and later

Starting in Configuration Manager version 2002, you can onboard the following operating systems:

• Windows 8.1
• Windows 10, version 1607 or later
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2016, version 1803 or later
• Windows Server 2019

About onboarding to ATP with Configuration Manager

Different operating systems have different needs for onboarding to ATP. Windows 8.1 and other down-level operating system devices need the Workspace key and Workspace ID to onboard. Up-level devices, such as Windows Server version 1803, need the onboarding configuration file. Configuration Manager also installs the Microsoft Monitoring Agent (MMA) when needed by onboarded devices but it doesn’t update the agent automatically.

Up-level operating systems include:

• Windows 10, version 1607 and later
• Windows Server 2016, version 1803 or later
• Windows Server 2019

Down-level operating systems include:

• Windows 8.1
• Windows Server 2012 R2
• Windows Server 2016, version 1709 and earlier

When you onboard devices to ATP with Configuration Manager, you deploy the ATP policy to a target collection or multiple collections. Sometimes the target collection contains devices running any number of the supported operating systems. The instructions for onboarding these devices vary based on if you’re targeting a collection containing devices with operating systems that are only up-level or if the collection also includes down-level clients.

• If your target collection contains both up-level and down-level devices, then use the instructions to onboard devices running any supported operating system (recommended).
• If your collection contains only up-level devices, then you can use the up-level onboarding instructions.

If your target collection contains down-level devices, and you use the instructions for onboarding only up-level devices, then the down-level devices won’t be onboarded. The optional Workspace key and Workspace ID fields are used for onboarding down-level devices, but if they aren’t included then the policy will fail on down-level clients.

In Configuration Manager 2006, or earlier:

• If you edit an existing policy to add or edit the Workspace key and Workspace ID fields, you must also provide the configuration file too. If all three items are not provided, the policy will fail on down-level clients. > — If you need to edit the onboarding file, and also have the Workspace key and Workspace ID fields populated, provide them again along with the onboarding file. If all three items are not provided, the policy will fail on down-level clients.

Onboard devices with any supported operating system to ATP (recommended)

You can onboard devices running any of the supported operating systems to ATP by providing the configuration file, Workspace key, and Workspace ID to Configuration Manager.

Get the configuration file, Workspace ID, and Workspace key

Select Settings, then select Onboarding under the Device management heading.

For the operating system, select Windows 10.

Choose Microsoft Endpoint Configuration Manager current branch and later for the deployment method.

Click Download package.

Download the compressed archive (.zip) file and extract the contents.

Select Settings, then select Onboarding under the Device management heading.

For the operating system, select either Windows 7 SP1 and 8.1 or Windows Server 2008 R2 Sp1, 2012 R2 and 2016 from the list.

• The Workspace key and Workspace ID will be the same regardless of which of these options you choose.

Copy the values for the Workspace key and Workspace ID from the Configure connection section.

The Microsoft Defender ATP configuration file contains sensitive information which should be kept secure.

Onboard the devices

In the Configuration Manager console, navigate to Assets and Compliance > Endpoint Protection > Microsoft Defender ATP Policies.

Select Create Microsoft Defender ATP Policy to open the Microsoft Defender ATP Policy Wizard.

Type the Name and Description for the Microsoft Defender ATP policy and select Onboarding.

Browse to the configuration file you extracted from the downloaded .zip file.

Supply the Workspace key and Workspace ID then click Next.

• Verify that the Workspace key and Workspace ID are in the correct fields. The order in the console may vary from the order in Microsoft Defender ATP online service.

Specify the file samples that are collected and shared from managed devices for analysis.

• None
• All file types

Review the summary and complete the wizard.

Right-click on the policy you created, then select Deploy to target the Microsoft Defender ATP policy to clients.

• In Configuration Manager 2006, or earlier:
  • If you edit an existing policy to add or edit the Workspace key and Workspace ID fields, you must also provide the configuration file too. If all three items are not provided, the policy will fail on down-level clients. > — If you need to edit the onboarding file, and also have the Workspace key and Workspace ID fields populated, provide them again along with the onboarding file. If all three items are not provided, the policy will fail on down-level clients.

Onboard devices running only up-level operating systems to ATP

Up-level clients require an onboarding configuration file for onboarding to ATP. Up-level operating systems include:

• Windows 10, version 1607 and later
• Windows Server 2016, version 1803 and later
• Windows Server 2019

If your target collection contains both up-level and down-level devices, or if you’re not sure, then use the instructions to onboard devices running any supported operating system (recommended).

Get an onboarding configuration file for up-level devices

1. Go to the Microsoft Defender ATP online service and sign in.
2. Select Settings, then select Onboarding under the Device management heading.
3. For the operating system, select Windows 10.
4. Choose Microsoft Endpoint Configuration Manager current branch and later for the deployment method.
5. Click Download package.
6. Download the compressed archive (.zip) file and extract the contents.

• The Microsoft Defender ATP configuration file contains sensitive information which should be kept secure.
• If your target collection contains down-level devices, and you use the instructions for onboarding only up-level devices, then the down-level devices won’t be onboarded. The optional Workspace key and Workspace ID fields are used for onboarding down-level devices, but if they aren’t included then the policy will fail on down-level clients.

Onboard the up-level devices

1. In the Configuration Manager console, navigate to Assets and Compliance >Endpoint Protection >Microsoft Defender ATP Policies and select Create Microsoft Defender ATP Policy. The Microsoft Defender ATP Policy Wizard opens.
2. Type the Name and Description for the Microsoft Defender ATP policy and select Onboarding.
3. Browse to the configuration file you extracted from the downloaded .zip file.
4. Specify the file samples that are collected and shared from managed devices for analysis.
   • None
   • All file types
5. Review the summary and complete the wizard.
6. Right-click on the policy you created, then select Deploy to target the Microsoft Defender ATP policy to clients.

Monitor

In the Configuration Manager console, navigate Monitoring > Security and then select Microsoft Defender ATP.

Review the Microsoft Defender Advanced Threat Protection dashboard.

Microsoft Defender ATP Agent Onboarding Status: The number and percentage of eligible managed client computers with active Microsoft Defender ATP policy onboarded

Microsoft Defender ATP Agent Health: Percentage of computer clients reporting status for their Microsoft Defender ATP agent

Healthy — Working properly

Inactive — No data sent to service during time period

Agent state — The system service for the agent in Windows isn’t running

Not onboarded — Policy was applied but the agent hasn’t reported policy onboard

Create an offboarding configuration file

Select Settings, then select Offboarding under the Device management heading.

Select Windows 10 for the operating system and Microsoft Endpoint Configuration Manager current branch and later for the deployment method.

• Using the Windows 10 option ensures that all devices in the collection are offboarded and the MMA is uninstalled when needed.

Download the compressed archive (.zip) file and extract the contents. Offboarding files are valid for 30 days.

In the Configuration Manager console, navigate to Assets and Compliance > Endpoint Protection > Microsoft Defender ATP Policies and select Create Microsoft Defender ATP Policy. The Microsoft Defender ATP Policy Wizard opens.

Type the Name and Description for the Microsoft Defender ATP policy and select Offboarding.

Browse to the configuration file you extracted from the downloaded .zip file.

Review the summary and complete the wizard.

Select Deploy to target the Microsoft Defender ATP policy to clients.

The Microsoft Defender ATP configuration files contains sensitive information which should be kept secure.