微軟Defender ATP新增惡意行為封鎖功能

微軟陸續強化終端安全軟體Defender進階威脅防護（Defender ATP）的功能。本周又宣布加入端點偵測與回應封鎖模式（EDR in block mode）功能，以阻斷企業裝置上的惡意行為。

這項功能主要用於發生駭客入侵事件後，以背景執行模式掃瞄裝置上的惡意活動、惡意軟體或其他有害物件。啟動這項功能時，Defender ATP即會在偵測到惡意行為時，予以封鎖和修復。

EDR in block mode使用Defender ATP的機器學習引擎，來分析惡意程式的行為。它可以即時偵測和封鎖威脅行動，即使惡意程式已經開始執行也沒問題，有助於更及時防範威脅，減少人為操作的麻煩和時間延宕。微軟指出，今年4月EDR in block mode已經成功找出或阻擋NanoCore RAT攻擊。

EDR in block mode目前以不公開預覽版開放測試。EDR in block mode可透過Defender Security Center中的「設定」、「進階」功能啟動、關閉。但這項功能無法從登錄檔金鑰、Intune或群組政策控制。

EDR in block mode只提供給Windows 10或是Server 2016以上，或是具備Microsoft 365 E3/ E5授權的機器。機器上的Microsoft Defender Antivirus防毒軟體也需升級到最新版本，且開啟雲端防護功能。