Mit dem Windows 10 Creators Update rollt Microsoft auch einige Neuerungen in Form des Windows Defender ATP (ATP stehe für Advanced Threat Protection) aus.
Anzeige
Windows Defender ATP steht aber nur Enterprise-Kunden in Windows 10 zur Verfügung, und ermöglicht dieser Klientel Angriffe zu erkennen und zu untersuchen. Windows Defender ATP enthält Funktionen, um das System besser gegen Schadsoftware und Ransomware zu schützen. In diesem Blog-Beitrag hat Microsoft nun einige Neuerungen bzw. Verbesserungen für Windows Defender ATP beschrieben.
So soll im Windows Creators Update die Erkennung von Angriffe über Speicher- und Kernelzugriffe durch Speicher- und Kernel-Sensoren verbessert worden sein. Das soll einen gewissen Schutz von Zero-Day-Exploits bieten. Der Windows Defender erkennt Schadprogramme, während der Device Guard die Schadsoftware blockiert. Der Anwender kann sich Bedrohungen visualisieren lassen (siehe obiger Screenshot), Maschinen isolieren, Dateien aus dem Netzwerk isolieren und laufende Prozesse beenden bzw. in Quarantäne schicken. Bleibt halt die Frage, ob Administratoren im Business-Umfeld auf den Defender ATP vertrauen oder eher auf alternative Lösungen setzen. (via)
Anzeige
You must ensure that the telemetry and diagnostics service is enabled on all the endpoints in your organization
Endpoints that are running Windows Server are not supported.
https://goo.gl/kHkDPh (Technet)
Information collected includes code file data (such as file names, sizes, and hashes), process data (running processes, hashes), registry data, network connection data (host IPs and ports), and machine details (such as GUIDs, names, and the operating system version). Microsoft stores this data securely in Microsoft Azure.
das ist doch bei so ziemlich allen ATP-Produkten Standard – zumindest die Dateien selber werden oftmals hochgeladen "um eine besere Analyse durchführen zu können". Nur laufen die ATPs gerne mal auf der Firewall, so dass zusätzlich "nur" Verbindungsdaten etc. mitgeliefert werden. Was ATP auf den Clients macht (so verfügbar) habe ich noch nicht eruiert, würde mich aber nicht wirklich wundern, wenn Microsoft da fast den "Industirestandard" nutzt bzw. die anderen auch nicht besser sind.
"Telemetrie- und Diagnoseservice muss auf allen Endpunkten Ihrer Organisation aktiviert sein."
Ich kauf mir ganz sicherlich keine Windows 10 Enterprise um dann die Telemetrie- und Diagnoseservice einzuschalten.
Was Rauchen die da?
Also da stimme ich meinem Vorredner voll und ganz zu. Im Unternehmen haben wir das komplett mittels GPO deaktiviert. Ist ja auch nur im Unternehmen möglich. Tja, gute Idee. Nur wird es wieder niemand verwenden. Das Windows Phone der Anti-Viren-Lösungen ;-))
Der Unterschied ztwischen "Thread" und "Threat" besteht nicht nur aus einem Buchstaben. Bitte einmal die Einleitung zu dem Beitrag korrigieren.
Was ich hoch interessant finde, ist die Tatsache, was sich Microsoft so alles ausdenkt, um doch noch an Telemtrie-Daten zu kommen. Schließlich schaltet das jeder ab, der noch bei Verstand ist. Mir scheint, dass das weit mehr sind, als Microsoft lieb ist.