Windows defender advanced threat protection что это за программа и нужна ли она
Windows Defender Advanced Threat Protection — что это за программа и нужна ли она? (MsSense.exe)
Приветствую друзья! 
Сегодня мы поговорим о программе Windows Defender Advanced Threat Protection — узнаем что она из себя представляет, зачем нужна. Поехали!
Windows Defender Advanced Threat Protection — что это?
Windows Defender Advanced Threat Protection (ATP) — агент защитника Windows, представляющий единую платформу превентивной защиты, обнаружения взломов, автоматического изучения и устранения (так понимаю угроз). Вот такая официальная информация содержится на сайте Майкрософт.
Если короткой — Windows Defender Advanced Threat Protection это некий компонент виндовского защитника, обеспечивающий дополнительную защиту.
Также на офф сайте сказано — этот агент защищает ваш бизнес от сложных угроз. Возможно данная защита больше направлена на коммерческие ПК, чем на домашние. Например этой защитой пользуются компании DB Schenker, Metro CSG, Emirates Airlines, MSC Mediterranean Shipping Company и другие компании. Разумеется все довольны, их отзывы есть на офф сайте Microsoft.
Основные возможности
Давайте попробуем понять основные возможности этой защиты — просто инфа в интернете как бы есть, но она раскидана и расплывчата. Я буду опираться на офф сайт Microsoft.
Это только основные возможности. О всех писать нет смысла — не всем они будут понятны, разве что только системным администраторами. Смотря что умеет эта защита, можно делать вывод — она точно излишня для домашних, обычных юзеров. Вирусы, которым способна дать отпор данная защита — просто не водятся на обычных ПК.
| Семейство | Название |
|---|---|
| Windows Servers | Windows Server 2016, Windows Server 2012 R2 |
| Поддерживаемые версии Windows | Windows 10, Windows 8.1, Windows 7 SP1 |
| Другие платформы (через партнеров) | Android, iOS, macOS, Linux |
В общем ребята — не вижу смысла вас дальше грузить этой инфой. Думаю всем все понятно — Windows Defender Advanced Threat Protection это инструмент, направлен на обеспечение повышенной безопасности, которая нужна больше бизнесу, чем обычному домашнему ПК. Кроме бизнеса, может использовать думаю в:
Снова вывод — используется там, где данные на ПК имеют особую ценность. То есть даже вы дома можете использовать эту защиту, если у вас.. например мега ценная инфа финансового характера.
Windows Defender Advanced Threat Protection — внешний вид
Давайте посмотрим на эту программу — ее внешний вид, интерфейс.
Вот собственно часть админки:
Видим, что есть много кнопок, функция, чтобы контролировать безопасность в реальном времени. Я так понимаю что на главной странице будет отображена самая важная инфа, вот на картинке выше пример — написано Malicious memory artifacts found, что означает — найдены вредоносные артефакты памяти.
Я так понимаю что всю аналитику, мониторинг, наблюдение — можно вести в интернете:
Видим графики, всякие диаграммы.. А вот само меню админки:
Как видим — полный отчет о действиях, всякие настройки, лог оповещений.. думаю для домашнего юзера это будет слишком сложным да и лишним делом.. все это следить, проверять..
Отключение
Оказывается существует служба — Windows Defender Advanced Threat Protection Service, сервисное/внутреннее название которой — Sense. Русское название такое — Служба Advanced Threat Protection в Защитнике Windows:
В описании так и сказано — помогает защитить от дополнительных угроз посредством наблюдения и отчетности о событиях.
На скриншоте видно — кнопка Запустить активна, меню Тип запуска — тоже активно. Не заблокировано. Значит можно в целях эксперимента эту службу отключить, если например эта защита вызывает нагрузку на ПК, либо компьютер просто тормозит.
Отключить службу просто:
Запустить окно со списком служб тоже просто:
Папка
Кстати, у меня оказалось тоже есть эта служба! И она у меня отключена:
Кстати работает служба под процессом MsSense.exe.
Но кроме службы также нашел папку эту:
C:\Program Files\Windows Defender Advanced Threat Protection
Внутри файлы, которые.. думаю используются защитой, по крайней мере вижу MsSense.exe, под которым работает служба. Файлы SenseSampleUploader.exe и SenseCncProxy.exe очень похожи на компоненты, связанные с обновлением и работой прокси.
Заключение
Мы сегодня пообщались немного о продвинутой защите, которая:
Надеюсь информация пригодилась. Удачи и добра! До новых встреч! 
Что такое защитник Виндовс и как отключить Defender в Windows 7, 8/8.1 и 10?
Утилита Windows Defender функционирует самостоятельно и предназначена для защиты компьютера пользователя от вредоносных приложений и троянов. Утилита работает до установки пользователем в ПК стороннего антивирусного программного обеспечения. Но такое благородство от Windows Defender происходит редко и часто владельцу ПК требуется самому отключить его.
Еще бывает, что установленный по умолчанию антивирусник ОС просто не позволяет скачать и сохранить в памяти ПК заведомо безопасный файл. В этой статье приведена подробная инструкция об отключении встроенной утилиты в Виндовс 7, 8/8.1 и 10. Поэтому такое руководство будет полезно людям, у которых возникли проблемы при инсталляции какого-либо приложения из-за запрета этого действия антивирусной программой операционной системы или в других подобных случаях.
Как отключить защитник в Виндовс 7, 8.1 и 10?
При наличии детальной инструкции процедура деактивации Windows Defender ни для кого не составит труда. Просто необходимо внимательно следовать описанным ниже руководствам.
Как деактивировать в Виндовс 7?
Чтобы избавиться от действий назойливой программы в «Семерке» требуется сделать следующие последовательные шаги:
После этого надо деактивировать автозагрузку приложения. Для этого выполнить следующий алгоритм действий:
Как отключить в Виндовс 8 и 10?
Сначала необходимо войти в «Панель управления». Для этого следует выполнить следующие действия:
В случае когда в появившемся окне отображается надпись о неактивности Защитника, то значит Windows Defender отключать не требуется, т. к. это сделала антивирусная программа либо другой человек, имеющий доступ к ПК.
Иначе необходимо приступить к выполнению пунктов нижеуказанных инструкций.
Процедура деактивации Windows Defender в «Восьмерке»
Отключить защитник в «Восьмерке» значительно проще, чем в новой ОС с индексом 10. Следует сделать следующие шаги:
Процедура деактивации Windows Defender в «Десятке»
Отключить Защитник в Виндовс 10 значительно труднее, чем во всех более ранних версиях ОС. С этой целью надо выполнить следующие действия:
Теперь у пользователя есть 15 минут для установки необходимой ему программы или сохранения в памяти ПК файла из интернета. Но, что делать, если владельцу ПК требуется отключить встроенную защиту навечно? Далее изложена инструкция именно для таких пользователей.
Выключение встроенной защиты в Виндовс 10 навсегда
Для этого требуется выполнить следующий алгоритм действий:
Готово! Защитник ОС теперь не функционирует.
Advanced Threat Protection в Microsoft Defender Microsoft Defender Advanced Threat Protection
Область применения: Configuration Manager (Current Branch) Applies to: Configuration Manager (current branch)
Endpoint Protection помогает отслеживать службу Расширенная защита от угроз (ATP) в Microsoft Defender (прежнее название — ATP в Защитнике Windows). Endpoint Protection can help manage and monitor Microsoft Defender Advanced Threat Protection (ATP) (formerly known as Windows Defender ATP). Служба ATP в Microsoft Defender помогает предприятиям обнаруживать и анализировать сложные атаки в своих сетях и принимать необходимые меры. Microsoft Defender ATP helps enterprises detect, investigate, and respond to advanced attacks on their networks. Политики Configuration Manager помогут вам подключить клиентов Windows 10 и отслеживать их. Configuration Manager policies can help you onboard and monitor Windows 10 clients.
Служба ATP в Microsoft Defender доступна в Центре безопасности в Microsoft Defender. Microsoft Defender ATP is a service in the Microsoft Defender Security Center. Добавив специальный файл конфигурации для подключения клиента и развернув эту конфигурацию, вы сможете использовать Configuration Manager для мониторинга состояния развертывания и работоспособности агента ATP в Microsoft Defender. By adding and deploying a client onboarding configuration file, Configuration Manager can monitor deployment status and Microsoft Defender ATP agent health. ATP в Microsoft Defender поддерживается на компьютерах с клиентом Configuration Manager или под управлением Microsoft Intune. Microsoft Defender ATP is supported on PCs running the Configuration Manager client or managed by Microsoft Intune.
Предварительные условия Prerequisites
Поддерживаемые клиентские операционные системы Supported client operating systems
В зависимости от используемой версии Configuration Manager можно подключить следующие клиентские операционные системы. Based on the version of Configuration Manager you’re running, the following client operating systems can be onboarded:
Configuration Manager версии 1910 и более ранних Configuration Manager version 1910 and prior
Configuration Manager версии 2002 и более поздних Configuration Manager version 2002 and later
Начиная с версии Configuration Manager 2002, можно подключить следующие операционные системы: Starting in Configuration Manager version 2002, you can onboard the following operating systems:
Сведения о подключении к ATP с помощью Configuration Manager About onboarding to ATP with Configuration Manager
Для разных операционных систем существуют разные требования подключения к ATP. Different operating systems have different needs for onboarding to ATP. Для подключения устройств с Windows 8.1 и другими операционными системами нижнего уровня требуется ключ рабочей области и идентификатор рабочей области. Windows 8.1 and other down-level operating system devices need the Workspace key and Workspace ID to onboard. Для устройств с ОС верхнего уровня, например с Windows Server версии 1803, требуется файл конфигурации подключения. Up-level devices, such as Windows Server version 1803, need the onboarding configuration file. Configuration Manager также устанавливает Microsoft Monitoring Agent (MMA), если это необходимо для подключенных устройств, но он не обновляет агент автоматически. Configuration Manager also installs the Microsoft Monitoring Agent (MMA) when needed by onboarded devices but it doesn’t update the agent automatically.
К операционным системам верхнего уровня относятся: Up-level operating systems include:
К операционным системам нижнего уровня относятся: Down-level operating systems include:
При подключении устройств к ATP с помощью Configuration Manager выполняется развертывание политики ATP в целевой коллекции или в нескольких коллекциях. When you onboard devices to ATP with Configuration Manager, you deploy the ATP policy to a target collection or multiple collections. Иногда в целевую коллекцию входят устройства с любым количеством поддерживаемых операционных систем. Sometimes the target collection contains devices running any number of the supported operating systems. Инструкции по подключению этих устройств зависят от того, устройства с операционной системой какого уровня содержатся в целевой коллекции — только верхнего уровня, или коллекция содержит также и клиенты нижнего уровня. The instructions for onboarding these devices vary based on if you’re targeting a collection containing devices with operating systems that are only up-level or if the collection also includes down-level clients.
Если целевая коллекция содержит устройства нижнего уровня и вы следуете инструкциям для подключения только устройств верхнего уровня, устройства нижнего уровня подключены не будут. If your target collection contains down-level devices, and you use the instructions for onboarding only up-level devices, then the down-level devices won’t be onboarded. Необязательные поля Ключ рабочей области и Идентификатор рабочей области используются для подключения устройств нижнего уровня, но если они не включены, то политика завершится сбоем на клиентах нижнего уровня. The optional Workspace key and Workspace ID fields are used for onboarding down-level devices, but if they aren’t included then the policy will fail on down-level clients.
В Configuration Manager 2006 или более ранней версии: In Configuration Manager 2006, or earlier:
Подключение устройств с любой поддерживаемой операционной системой к ATP (рекомендуется) Onboard devices with any supported operating system to ATP (recommended)
Чтобы подключить устройства под управлением любой поддерживаемой операционной системой к ATP, для Configuration Manager нужно предоставить файл конфигурации, ключ рабочей области и идентификатор рабочей области. You can onboard devices running any of the supported operating systems to ATP by providing the configuration file, Workspace key, and Workspace ID to Configuration Manager.
Получение файла конфигурации, идентификатора рабочей области и ключа рабочей области Get the configuration file, Workspace ID, and Workspace key
Выберите Параметры, а затем выберите Подключение под заголовком Управление устройствами. Select Settings, then select Onboarding under the Device management heading.
В качестве операционной системы выберите Windows 10. For the operating system, select Windows 10.
В качестве метода развертывания выберите Microsoft Endpoint Configuration Manager (Current Branch) и более поздние версии. Choose Microsoft Endpoint Configuration Manager current branch and later for the deployment method.
Щелкните Скачать пакет. Click Download package.
Скачайте сжатый файл архива (ZIP-файл) и извлеките его содержимое. Download the compressed archive (.zip) file and extract the contents.
Выберите Параметры, а затем выберите Подключение под заголовком Управление устройствами. Select Settings, then select Onboarding under the Device management heading.
В качестве операционной системы в списке выберите Windows 7 с пакетом обновления 1 (SP1) и 8.1 или Windows Server 2008 R2 с пакетом обновления 1 (SP1), 2012 R2 и 2016. For the operating system, select either Windows 7 SP1 and 8.1 or Windows Server 2008 R2 Sp1, 2012 R2 and 2016 from the list.
Скопируйте значения ключа рабочей области и идентификатора рабочей области из раздела Настройка подключения. Copy the values for the Workspace key and Workspace ID from the Configure connection section.
Файл конфигурации ATP в Microsoft Defender содержит конфиденциальные сведения, которые должны быть защищены. The Microsoft Defender ATP configuration file contains sensitive information which should be kept secure.
Подключение устройств Onboard the devices
В консоли Configuration Manager последовательно выберите Активы и соответствие > Endpoint Protection > Политики ATP в Microsoft Defender. In the Configuration Manager console, navigate to Assets and Compliance > Endpoint Protection > Microsoft Defender ATP Policies.
Выберите Создать политику ATP в Microsoft Defender, чтобы открыть мастер создания политик ATP в Microsoft Defender. Select Create Microsoft Defender ATP Policy to open the Microsoft Defender ATP Policy Wizard.
Введите Имя и Описание политики ATP в Microsoft Defender и выберите Подключение. Type the Name and Description for the Microsoft Defender ATP policy and select Onboarding.
Укажите ключ рабочей области и идентификатор рабочей области, а затем нажмите кнопку Далее. Supply the Workspace key and Workspace ID then click Next.
Укажите образцы файлов, которые собираются и совместно используются с управляемых устройств для анализа. Specify the file samples that are collected and shared from managed devices for analysis.
Просмотрите сводные данные и завершите работу мастера. Review the summary and complete the wizard.
Правой кнопкой мыши щелкните созданную политику, а затем выберите Развернуть, чтобы нацелить политику ATP в Microsoft Defender на клиенты. Right-click on the policy you created, then select Deploy to target the Microsoft Defender ATP policy to clients.
Подключение устройств только с операционными системами верхнего уровня к ATP Onboard devices running only up-level operating systems to ATP
Для подключения к ATP клиентам верхнего уровня требуется файл конфигурации подключения. Up-level clients require an onboarding configuration file for onboarding to ATP. К операционным системам верхнего уровня относятся: Up-level operating systems include:
Если целевая коллекция содержит устройства верхнего и нижнего уровней, или вы не уверены, какой уровень имеют устройства, следуйте инструкциям по подключению устройств под управлением любой поддерживаемой операционной системы (рекомендуется). If your target collection contains both up-level and down-level devices, or if you’re not sure, then use the instructions to onboard devices running any supported operating system (recommended).
Получение файла конфигурации подключения для устройств верхнего уровня Get an onboarding configuration file for up-level devices
Подключение устройств верхнего уровня Onboard the up-level devices
Монитор Monitor
В консоли Configuration Manager последовательно выберите Мониторинг > Безопасность и щелкните ATP в Microsoft Defender. In the Configuration Manager console, navigate Monitoring > Security and then select Microsoft Defender ATP.
Просмотрите сведения на панели мониторинга Advanced Threat Protection в Microsoft Defender. Review the Microsoft Defender Advanced Threat Protection dashboard.
Состояние подключения агента ATP в Microsoft Defender. Количество и процент доступных управляемых клиентских компьютеров с активной подключенной политикой ATP в Microsoft Defender. Microsoft Defender ATP Agent Onboarding Status: The number and percentage of eligible managed client computers with active Microsoft Defender ATP policy onboarded
Работоспособность агента ATP в Microsoft Defender. Процент клиентских компьютеров, сообщающих о состоянии для своего агента ATP в Microsoft Defender. Microsoft Defender ATP Agent Health: Percentage of computer clients reporting status for their Microsoft Defender ATP agent
Создание файла конфигурации отключения Create an offboarding configuration file
Выберите Параметры, а затем выберите Отключение под заголовком Управление устройствами. Select Settings, then select Offboarding under the Device management heading.
В качестве операционной системы выберите Windows 10, а в качестве метода развертывания — Microsoft Endpoint Configuration Manager (Current Branch) и более поздние версии. Select Windows 10 for the operating system and Microsoft Endpoint Configuration Manager current branch and later for the deployment method.
Скачайте сжатый файл архива (ZIP-файл) и извлеките его содержимое. Download the compressed archive (.zip) file and extract the contents. Файлы отключения действуют в течение 30 дней. Offboarding files are valid for 30 days.
В консоли Configuration Manager последовательно выберите Активы и соответствие > Endpoint Protection > Политики ATP в Защитнике Windows и щелкните Создать политику ATP в Защитнике Windows. In the Configuration Manager console, navigate to Assets and Compliance > Endpoint Protection > Microsoft Defender ATP Policies and select Create Microsoft Defender ATP Policy. Откроется мастер политик ATP в Microsoft Defender. The Microsoft Defender ATP Policy Wizard opens.
Введите Имя и Описание политики ATP в Microsoft Defender и выберите Отключение. Type the Name and Description for the Microsoft Defender ATP policy and select Offboarding.
Просмотрите сводные данные и завершите работу мастера. Review the summary and complete the wizard.
Выберите Развернуть, чтобы нацелить политику ATP в Microsoft Defender на клиенты. Select Deploy to target the Microsoft Defender ATP policy to clients.
Файлы конфигурации ATP в Microsoft Defender содержат конфиденциальные сведения, которые должны быть защищены. The Microsoft Defender ATP configuration files contains sensitive information which should be kept secure.
Служба Advanced Threat Protection в Защитнике Windows
В начале февраля мы рассказывали вам про обнаружение преступников с помощью службы ATP в Защитнике Windows. В комментариях появились различные вопросы, относительно работы службы, поэтому мы решили поделиться подробным описанием её функционала.
Если говорить коротко, то Служба ATP в Защитнике Windows — это служба безопасности, с помощью которой можно обнаруживать в своих сетях угрозы безопасности, исследовать их и принимать ответные меры. Служба работает на основе встроенной в Windows 10 комбинации технологий и облачной службы Microsoft. К таким технологиям относятся:
Возможности службы по исследованию хостов позволяют получить подробные оповещения, понять характер и масштаб возможного вторжения.
Служба ATP в Защитнике Windows работает с различными технологиями Windows по обеспечению безопасности:
Обзор портала Advanced Threat Protection в Защитнике Windows
Для мониторинга и ответных действий на угрозы можно использовать портал ATP. Он решает следующие задачи:
С настройками всё вполне очевидно. 
В Панели навигации доступны такие представления как:
В разделе управление хостами можно скачать пакет для подготовки машин к работе с ATP. 
Служба ATP и использует следующие условные обозначения:
Оповещение — сообщение об активности, которая коррелирует с атаками повышенной сложности.
Оповещение — сообщение об активности, которая коррелирует с атаками повышенной сложности. 
Обнаружение — признак обнаруженной угрозы вредоносного программного обеспечения.
Активная угроза — угрозы, которые активно исполнялись на момент обнаружения.
Устранено — угроза удалена с компьютера.
Не устранено — угроза не удалена с компьютера.
В общем виде подход к исследованию бреши в системе безопасности при помощи ATP можно разбить на следующие этапы:
Просмотр информационной панели службы Advanced Threat Protection в Защитнике Windows
Так как работу с ATP мы начинаем с анализа данных на информационной панели, рассмотрим её более подробно. Данные об оповещениях и компьютерах позволяют быстро установить факт, место и время подозрительной активности в сети — это дает необходимый контекст для понимания ситуации. Здесь также отображается сводка данных о событиях, помогающая идентифицировать значимые события или поведение на компьютере. Также можно открыть подробные сведения о событиях и индикаторах на более низком уровне. Активные плитки дают визуальные подсказки, позволяющие оценить общее состояние систем безопасности. При щелчке по такой плитке открывается подробное представление соответствующего компонента.
Оповещения службы ATP
При щелчке по плитке Оповещения ATP отображается общее количество активных оповещений службы ATP в сети за последние 30 дней. Оповещения распределены на две группы: Новые и Выполняющиеся.
Каждая группа имеет подкатегории по уровням серьёзности. Щелкнув по числу внутри каждого можно вывести представление очереди соответствующей категории.
Компьютеры, подвергающиеся риску
На этой плитке показан список компьютеров с наибольшим количеством активных оповещений. Общее число оповещений для каждого компьютера показано в круге рядом с именем компьютера. С противоположной стороны плитки представлено количество оповещений, сгруппированных по уровням серьёзности. Не сложно догадаться, что темный цвет это более опасные, а более светлый – менее.
Плитка Статус содержит информацию о том, активна ли служба и имеются ли проблемы, а также о количестве компьютеров, которые направляли отчеты в службу в течение последних 30 дней. 
Плитка Отчёты от компьютеров содержит гистограмму, на которой представлено количество компьютеров, отправлявших оповещения, по дням. Увидеть точное число компьютеров, отправлявших оповещения в определенный день, можно наведя курсор на отдельные столбцы гистограммы. 
Компьютеры с обнаруженными активными вредоносными программами
Плитка Компьютеры с обнаруженными активными вредоносными программами отображается, только если в ваших конечных точках используется Защитник Windows. Под активной вредоносной программой понимаются угрозы, которые активно исполнялись на момент обнаружения. Наведя курсор мыши на каждый из столбцов, можно увидеть количество обнаруженных активных вредоносных программ и количество хостов, на которых в течение последних 30 дней была обнаружена хотя бы одна активная вредоносная программа.
В схеме представлено пять категорий вредоносного ПО:
Щёлкнув по любой из этих категорий, можно перейти к представлению Компьютеры, где данные будут отфильтрованы для соответствующей категории. Так можно получить подробные сведения о том, на каких компьютерах обнаружены активные вредоносные программы и сколько угроз зарегистрировано на каждом из них.
Просмотр и упорядочение очереди оповещений Advanced Threat Protection
Управлять оповещениями службы ATP в Защитнике Windows можно в рамках регулярных ежедневных задач. Оповещения выстраиваются в очереди в соответствии с текущим статусом.По умолчанию оповещения в очереди сортируются в порядке от последних к самым старым.В следующей таблице и на снимке экрана приведены основные области Очереди оповещений. 
