Microsoft Defender Advanced Threat Protection(简称 ATP)是帮助企业用户检测和应对安全威胁的预防技术。在今天更新的官方博文中,微软宣布引入全新的 Unified Extensible Firmware Interface(UEFI)扫描功能,从而将保护功能扩展到固件层面。

Microsoft Defender ATP新增UEFI扫描功能 将保护提升到固件层面-冯金伟博客园

  全新的 UEFI 扫描功能通过在 runtime 时读取固件文件系统来和主板芯片进行交互。Microsoft Defender ATP 团队解释说:“UEFI 扫描是 Windows 10 内置防病毒的全新组件,能够为 Microsoft Defender ATP 带来独特的功能,可以扫描固件文件系统内部并进行安全评估。它整合了我们的合作伙伴芯片组制造商的见解,并进一步扩展了 Microsoft Defender ATP 提供的全面终端保护。”

Microsoft Defender ATP新增UEFI扫描功能 将保护提升到固件层面-冯金伟博客园

  微软介绍称,UEFI 扫描使用了各种最新的解决方案组件,包括包括 UEFI 反 rootkit、全文件系统扫描器和检测引擎,以便对威胁检测进行动态分析。Microsoft Defender ATP 用户可以在 Microsoft Defender Security Center 获得威胁检测警报,并帮助他们进行分析,以应对固件级别的可疑活动。此外,您的安全运营团队可以借助 Microsoft Defender ATP 中的高级猎杀功能来清除这些威胁。

Microsoft Defender ATP新增UEFI扫描功能 将保护提升到固件层面-冯金伟博客园

  总的来说,对于使用 Windows Defender ATP 的公司来说,这是一个可喜的变化,它应该会加强微软保护企业客户的力度。Microsoft Defender ATP 团队表示:“通过其 UEFI 扫描器,微软卫士 ATP 在固件级别的威胁中获得了更丰富的可见性,而攻击者已经越来越多地将精力集中在这里。安全运营团队可以利用这种新的可见性水平,以及 Microsoft Defender ATP 中丰富的检测和响应能力,来调查和遏制这种高级攻击。”

Microsoft Defender ATP新增UEFI扫描功能 将保护提升到固件层面-冯金伟博客园

Microsoft Defender ATP新增UEFI扫描功能 将保护提升到固件层面-冯金伟博客园

Microsoft Defender ATP新增UEFI扫描功能 将保护提升到固件层面-冯金伟博客园