Microsoft Defender for Endpoint 中的新增功能 - 2023 年之前

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender for Endpoint
• Microsoft 365 Defender

以下功能在 2023 日历年之前的 Microsoft Defender for Endpoint 中处于预览状态或正式发布 (正式版) 。

有关预览功能的详细信息，请参阅 预览功能。

有关 Windows 上的 Microsoft Defender for Endpoint 的新增功能的详细信息，请参阅：Windows 上的 Microsoft Defender for Endpoint 中的新增功能

有关其他 Microsoft Defender 安全产品的新增功能的详细信息，请参阅：

• Microsoft Defender XDR 中的新增功能
• Microsoft Defender for Office 365 中的新增功能
• Microsoft Defender for Identity 中的新增功能
• Microsoft Defender for Cloud Apps 中的新增功能

有关特定操作系统和其他操作系统上的 Microsoft Defender for Endpoint 的详细信息：

• Windows 上的 Defender for Endpoint 中的新增功能
• macOS 上的 Defender for Endpoint 中的新增功能
• Linux 上的 Defender for Endpoint 中的新增功能
• Android 版 Defender for Endpoint 中的新增功能
• iOS 上的 Defender for Endpoint 中的新增功能

2022 年 12 月

• Microsoft Defender for Endpoint 设备控制可移动存储访问控制更新：

  1. Microsoft Intune 支持可移动存储访问控制现已推出。 请参阅 使用 Intune 部署和管理设备控制。

  2. 可移动存储访问控制的新默认强制策略适用于所有设备控制功能。 打印机保护现在可用于此策略。 如果创建默认拒绝策略，则会在组织中阻止打印机。

     • Intune： ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement
       请参阅 使用 Intune 部署和管理设备控制

     • 组策略： 计算机配置 > 管理模板 > Windows 组件 > Microsoft Defender 防病毒 > 功能 > 设备控制 > 选择设备控制默认强制实施
       请参阅 使用组策略部署和管理设备控制

• Microsoft Defender for Endpoint 设备控制 用于管理打印机的新打印机保护解决方案现已推出。 有关详细信息，请参阅 设备控制策略。

2022 年 11 月

• 内置保护 现已正式发布。 内置保护有助于保护组织免受勒索软件和其他威胁的侵害，默认设置有助于确保设备受到保护。

2022 年 10 月

网络保护 C2 检测和修正现已正式发布。
攻击者通常会破坏现有的已连接 Internet 的服务器，成为其命令和控制服务器。 攻击者可以使用受攻击的服务器来隐藏恶意流量，并部署用于感染终结点的恶意机器人。 网络保护检测和修正有助于缩短安全操作 (SecOps) 团队查明和响应希望入侵终结点的恶意网络威胁所需的时间。

2022 年 9 月

• 攻击面减少规则报告现已在 Microsoft Defender 门户中提供。
  攻击面减少规则报告现已在 Microsoft Defender 门户中提供。 此 ASR 报告提供有关应用于组织中的设备的攻击面减少规则的信息，并帮助你检测威胁、阻止潜在威胁以及了解 ASR 和设备配置。

• 即将推出内置保护 (预览版) 。内置保护是一组默认设置，例如打开篡改防护，以帮助保护设备免受勒索软件和其他威胁的侵害。

• 设备运行状况报告现已正式发布。
  设备运行状况报告提供有关终结点的运行状况和安全性的信息。 该报告包括显示传感器运行状况、防病毒状态、OS 平台、Windows 10 版本和 Microsoft Defender 防病毒更新版本的趋势信息。

• 设备运行状况报告现在可供使用 Defender for Endpoint 的美国政府客户使用。
  设备运行状况报告现在可供 GCC、GCC High 和 DoD 客户使用。

• 故障排除模式 现在可用于更多 Windows 操作系统，包括 Windows Server 2012 R2 及更高版本。 有关所需更新的详细信息，请参阅 故障排除模式。

2022 年 8 月

• 设备运行状况
  设备运行状况状态卡显示特定设备的汇总运行状况报告。

• 设备运行状况报告 (预览版)
  设备状态报告提供有关组织中设备的概要信息。 该报告包括显示传感器运行状况、防病毒状态、OS 平台和 Windows 10 版本的趋势信息。

• macOS 上的篡改防护现已正式发布
  此功能将在默认启用审核模式的情况下发布，你可以决定是强制实施 (阻止) 还是关闭该功能。 今年晚些时候，我们将提供逐步推出机制，自动将终结点切换到“阻止”模式：仅当尚未选择启用 (“阻止”模式) 或禁用该功能时，此机制才适用。

• 适用于 macOS 和 Linux 的网络保护和 Web 保护现已推出公共预览版！
  网络保护有助于减少设备受到基于 Internet 的事件的攻击面。 它可以防止员工使用任何应用程序访问在 Internet 上托管网络钓鱼欺诈、攻击和其他恶意内容的危险域。 它是构建适用于 Microsoft Defender for Endpoint 的 Web 保护的基础。 这些功能包括 Web 威胁防护、Web 内容筛选和 IP/URL 自定义指示器。 通过 Web 保护，可以保护设备免受 Web 威胁，并有助于监管不需要的内容。

• 改进了适用于 Windows Server 2012 R2 和 Windows Server 2016 的 Microsoft Defender for Endpoint 载入
  Configuration Manager 版本 2207 现在支持自动部署新式统一 Microsoft Defender for Endpoint for Windows Server 2012 R2 & 2016。 运行 Defender for Endpoint 载入策略针对的 Windows Server 2012 R2 或 Windows Server 2016 的设备现在使用统一代理，而不是基于 Microsoft Monitoring Agent 的解决方案（如果通过客户端设置进行配置）。

2022 年 7 月

• 添加域控制器设备 - 评估实验室增强功能
  现已正式发布 - 添加域控制器以运行复杂方案，例如跨多个设备进行横向移动和多阶段攻击。

• 宣布 Microsoft Defender for Endpoint 中的“文件”页增强功能
  是否曾调查过 Microsoft Defender for Endpoint 中的文件？ 现在，我们最近宣布了“文件”页面和侧面板的增强功能，使其更加轻松。 用户现在可以通过在一个位置托管所有这些信息的更高效的导航体验来简化流程。

• 引入新的警报抑制体验
  我们很高兴地分享新的高级警报抑制体验现已正式发布。 新体验提供更严格的粒度和控制，允许用户优化 Microsoft Defender for Endpoint 警报。

• 使用“包含”防止已泄露的非托管设备在组织中横向移动
  从今天开始，当未在 Microsoft Defender for Endpoint 中注册的设备被怀疑遭到入侵时，作为 SOC 分析师，你将能够“包含”它。 因此，在 Microsoft Defender for Endpoint 中注册的任何设备现在都会阻止与可疑设备的任何传入/传出通信。

• 现在，使用 Defender for Endpoint 的美国政府客户提供移动设备支持
  适用于美国政府客户的 Microsoft Defender for Endpoint 构建在 Azure 美国政府环境中，使用与 Azure 商业版中的 Defender 相同的基础技术。 此产品/服务适用于 GCC、GCC High 和 DoD 客户，并进一步将我们的平台可用性从 Windows、macOS 和 Linux 扩展到 Android 和 iOS 设备。

2022 年 6 月

• Defender for Servers 计划 2 现在与 MDE 统一解决方案集成
  现在，可以使用一个按钮开始将适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案部署到 Defender for Servers 计划 2 涵盖的服务器。

• Android & iOS 上的 Microsoft Defender for Endpoint 中的移动网络保护现在以公共预览版提供
  Microsoft 在 Defender for Endpoint 中提供了移动网络保护功能，可帮助组织在强大的威胁情报的帮助下识别、评估和修正终结点弱点。 我们很高兴地宣布，用户现在可以从具有 Microsoft Defender for Endpoint 的 Android 和 iOS 平台上的这项新功能中受益。

提示

想要了解更多信息？ 在技术社区：Microsoft Defender for Endpoint 技术社区中与 Microsoft 安全社区互动。

2021 年 10 月

• 更新了 Windows Server 2012 R2 和 Windows Server 2016 (预览版)
  新的统一解决方案包通过删除依赖项和安装步骤，可以更轻松地加入服务器。 此外，此统一解决方案包还附带了许多新功能改进。

• Windows 11 支持已添加到 Microsoft Defender for Endpoint 和 Microsoft 365 Defender。

2021 年 9 月

• Web 内容筛选 。 作为 Microsoft Defender for Endpoint 中的 Web 保护功能的一部分，Web 内容筛选使组织的安全团队能够根据其内容类别跟踪和规范对网站的访问。 类别包括成人内容、高带宽、法律责任、休闲和未分类。 虽然属于这些类别中的一个或多个许多网站可能不是恶意网站，但由于合规性法规、带宽使用或其他问题，它们可能会有问题。 详细了解 Web 内容筛选。

2021 年 8 月

• Microsoft Defender for Endpoint 计划 1 (预览版) 。 Defender for Endpoint 计划 1 (预览版) 是一种终结点保护解决方案，包括下一代保护、攻击面减少、集中管理和报告以及 API。 Defender for Endpoint 计划 1 (预览版) 是面向客户的新产品/服务：：

  • 想要尝试我们的终结点保护功能
  • 具有 Microsoft 365 E3 和
  • 尚没有 Microsoft 365 E5

  有关 Defender for Endpoint 计划 1 (预览版) 的详细信息，请参阅 Microsoft Defender for Endpoint 计划 1 (预览版) 。

  现有的 Defender for Endpoint 功能称为 Defender for Endpoint 计划 2。

• (预览版) Web 内容筛选
  Web 内容筛选是 Microsoft Defender for Endpoint 中的 Web 保护功能的一部分。 它使组织能够根据其内容类别跟踪和规范对网站的访问。 其中许多网站虽然不是恶意网站，但由于合规性法规、带宽使用或其他问题，可能会有问题。

2021 年 6 月

• Delta 导出软件漏洞评估 Api
  漏洞 和安全配置 API 集合的导出评估 的补充。
  与完整的软件漏洞评估 (JSON 响应) 不同（用于按设备获取组织软件漏洞评估的整个快照），增量导出 API 调用仅用于提取所选日期与当前日期 (“增量”API 调用) 之间发生的更改。 你只需获取有关新漏洞、已修复漏洞和更新漏洞的特定信息，而不是每次获取包含大量数据的完整导出。 Delta 导出 API 调用还可用于计算不同的 KPI，例如“修复了多少漏洞”或“向组织添加了多少新漏洞”。

• 导出漏洞和安全配置的评估 Api
  添加一组 API，用于按设备拉取威胁和漏洞管理数据。 可通过不同的 API 调用来获取不同类型的数据：安全配置评估、软件清单评估和软件漏洞评估。 每个 API 调用都包含组织中设备的必要数据。

• 修正活动 Api
  添加包含租户中创建的威胁和漏洞管理修正活动的响应的 API 集合。 响应信息类型包括按 ID 排序的一个修正活动、所有修正活动以及一个修正活动的公开设备。

• 设备发现
  帮助你查找连接到公司网络的非托管设备，而无需额外的设备或繁琐的过程更改。 使用载入的设备，可以在网络中查找非托管设备并评估漏洞和风险。 然后，可以加入发现的设备，以降低与网络中具有非托管终结点相关的风险。

  重要

  从 2021 年 7 月 19 日起，标准发现将成为所有客户的默认模式。 可以通过 “设置” 页选择保留“基本模式”。

• 设备组定义 现在可以为每个条件包含多个值。 可以将多个标记、设备名称和域设置为单个设备组的定义。

• 移动应用程序管理支持
  此增强功能使 Microsoft Defender for Endpoint 能够在使用 Intune 管理移动应用程序时保护托管应用程序中的组织数据。 有关移动应用程序管理的详细信息，请参阅 此文档。

• Microsoft Tunnel VPN 集成
  Microsoft Tunnel VPN 功能现已与适用于 Android 的 Microsoft Defender for Endpoint 应用集成。 这种统一使组织能够通过一个安全应用提供简化的最终用户体验-既提供移动威胁防御，又能够从移动设备访问本地资源，同时安全和 IT 团队能够维护他们熟悉的相同管理员体验。

• iOS 上的越狱检测
  iOS 上的 Microsoft Defender for Endpoint 中的越狱检测功能现已正式发布。 这增加了已存在的网络钓鱼防护。 有关详细信息，请参阅 基于设备风险信号设置条件访问策略。

2021 年 3 月

使用 Microsoft Defender 安全中心管理篡改防护
可以使用称为 租户附加的方法管理 Windows 10、Windows Server 2016、Windows Server 2019 和 Windows Server 2022 上的篡改防护设置。

2021 年 1 月

• Windows 虚拟桌面
  Microsoft Defender for Endpoint 现在添加了对 Windows 虚拟桌面的支持。

2020 年 12 月

• iOS 上的 Microsoft Defender for Endpoint
  Microsoft Defender for Endpoint 现在添加了对 iOS 的支持。 了解如何安装、配置、更新和使用适用于 iOS 的 Microsoft Defender for Endpoint。

2020 年 9

• Android 上的 Microsoft Defender for Endpoint
  Microsoft Defender for Endpoint 现在添加了对 Android 的支持。 除了 2020 年 8 月) 年 8 月的上一个冲刺版中引入的用于安装、配置和使用适用于 Android 的 Microsoft Defender for Endpoint (的规定外，本冲刺中还引入了用于“更新”适用于 Android 的 Microsoft Defender for Endpoint 的设置。

• 威胁和漏洞管理 macOS 支持
  macOS 的威胁和漏洞管理现在以公共预览版提供，它将持续检测 macOS 设备上的漏洞，以帮助你通过关注风险来确定修正的优先级。 有关详细信息，请参阅 Microsoft 技术社区博客文章。

2020 年 8 月

• Android 上的 Microsoft Defender for Endpoint
  Microsoft Defender for Endpoint 现在添加了对 Android 的支持。 Microsoft Defender for Endpoint on Android 一文介绍了如何安装、配置和使用适用于 Android 的 Microsoft Defender for Endpoint。

2020 年 7 月

• 创建证书指示器
  创建用于允许或阻止证书的指示器。

2020 年 6 月

• Microsoft Defender for Endpoint on Linux
  Microsoft Defender for Endpoint 现在添加了对 Linux 的支持。 本文通过 Linux 上的 Microsoft Defender for Endpoint ，可以了解如何安装、配置、更新和使用适用于 Linux 的 Microsoft Defender for Endpoint。

• 评估实验室中的攻击模拟器
  Microsoft Defender for Endpoint 与各种威胁模拟平台合作，让你能够方便地从门户中测试平台的功能。

2020 年 4 月

• 威胁 & 漏洞管理 API 支持
  运行威胁 & 漏洞管理相关的 API 调用，例如获取组织的威胁暴露分数或设备安全功能分数、软件和设备漏洞清单、软件版本分发、设备漏洞信息和安全建议信息。 有关详细信息，请参阅 Microsoft 技术社区博客文章。

2019 November-December

• Mac 上的 Microsoft Defender for Endpoint
  Microsoft Defender for Endpoint for Mac 为 Mac 设备带来了下一代保护。 统一终结点安全平台的核心组件现在将可用于 Mac 设备，包括 终结点检测和响应。

• 威胁 & 漏洞管理应用程序和应用程序版本生命周期终止信息
  已终止生命周期 (EOL) 的应用程序和应用程序版本将进行标记或标记：因此，你知道它们将不再受支持，并且可以采取措施来卸载或替换它们。 这样做将有助于降低由于未修补的应用程序而导致的各种漏洞风险。

• 威胁 & 漏洞管理高级搜寻架构
  使用高级搜寻架构中的“威胁 & 漏洞管理”表查询有关软件清单、漏洞知识库、安全配置评估和安全配置知识库的信息。

• 威胁 & 漏洞管理基于角色的访问控制
  使用新权限可以最大程度地灵活地创建面向 SecOps 的角色、威胁 & 面向漏洞管理的角色或混合角色，以便只有经过授权的用户才能访问特定数据来执行其任务。 还可以通过指定威胁 & 漏洞管理角色是否只能查看漏洞相关数据，或者可以创建和管理修正和异常，从而进一步提高粒度。

2019 年 10 月

• IP 地址、URL/域的指示器
  现在可以使用自己的威胁情报来允许或阻止 URL/域。

• Microsoft 威胁专家 - 按需专家
  现在，你可以选择在门户中的多个位置咨询 Microsoft 威胁专家，以帮助你完成调查。

• 连接的 Azure AD 应用程序
  “ 连接的应用程序 ”页提供有关在组织中连接到 Microsoft Defender for Endpoint 的 Azure AD 应用程序的信息。

• API 资源管理器
  使用 API 资源管理器可以轻松构造和执行 API 查询，以及测试和发送任何可用的 Microsoft Defender for Endpoint API 终结点的请求。

2019年九月

• 使用 Intune 的篡改防护设置
  现在可以在 Microsoft 365 设备管理门户 (Intune) 中打开篡改防护 (或关闭组织的) 。

• 实时响应
  使用远程 shell 连接即时访问设备。 进行深入的调查工作，并立即采取响应操作，以及时遏制已识别的威胁 - 实时。

• 评估实验室
  Microsoft Defender for Endpoint 评估实验室旨在消除设备和环境配置的复杂性，以便你可以专注于评估平台的功能;运行模拟;并查看操作中的预防、检测和修正功能。

• Windows Server 2008 R2 SP1
  现在可以载入 Windows Server 2008 R2 SP1。

2019 年 6 月

• 威胁 & 漏洞管理
  一种新的内置功能，它使用基于风险的方法发现、确定优先级并修正终结点漏洞和错误配置。

• 设备运行状况和符合性报告 设备运行状况和符合性报告提供有关组织中设备的概要信息。

2019 年 5 月

• 威胁防护报告
  威胁防护报告提供有关组织中生成的警报的高级信息。

• Microsoft 威胁专家
  Microsoft 威胁专家是 Microsoft Defender for Endpoint 中新的托管威胁搜寻服务，它提供主动搜寻、优先级和其他上下文和见解，进一步支持安全运营中心 (SOC) 快速准确地识别和响应威胁。 它提供一层额外的专业知识和光学技术，Microsoft 客户可以利用这些功能来增强作为 Microsoft 365 一部分的安全操作功能。

• 指示器
  指标 API 现已正式发布。

• 互操作性
  Microsoft Defender for Endpoint 支持第三方应用程序，以帮助增强平台的检测、调查和威胁情报功能。

2019 年 4 月

• Microsoft 威胁专家定向攻击通知功能
  Microsoft 威胁专家的定向攻击通知警报专为组织量身定做，可提供尽可能多的信息，包括时间线、违规范围和入侵方法，从而引起人们对其网络中的关键威胁的关注。

• Microsoft Defender for Endpoint API
  Microsoft Defender for Endpoint 通过一组编程 API 公开其大部分数据和操作。 这些 API 使你能够自动执行工作流，并根据 Microsoft Defender for Endpoint 功能进行创新。

2019 年 2 月

• 事件
  事件是 Microsoft Defender for Endpoint 中的一个新实体，它汇集了所有相关警报和相关实体来讲述更广泛的攻击事件，使分析师能够更好地了解复杂威胁的范围。

• 载入以前版本的 Windows
  载入受支持的 Windows 设备版本，以便它们可以将传感器数据发送到 Microsoft Defender for Endpoint 传感器。

2018 年 10 月

• 攻击面减少规则
  Windows Server 2019 现在支持所有攻击面减少规则。

• 受控文件夹访问
  Windows Server 2019 现在支持受控文件夹访问。

• 自定义检测
  借助自定义检测，可以创建自定义查询来监视事件是否存在任何类型的行为，例如可疑或新出现的威胁。 这可以通过创建自定义检测规则来利用高级搜寻的强大功能来完成。

• 与 Azure 安全中心集成
  Microsoft Defender for Endpoint 与 Azure 安全中心集成，以提供全面的服务器保护解决方案。 通过此集成，Azure 安全中心可以利用 Microsoft Defender for Endpoint 的强大功能为 Windows Server 提供改进的威胁检测。

• 托管安全服务提供程序 (MSSP) 支持
  Microsoft Defender for Endpoint 通过提供 MSSP 集成来添加对此方案的支持。 该集成允许 MSSP 执行以下操作：访问 MSSP 客户的 Microsoft Defender 安全中心门户，提取电子邮件通知，并通过安全信息和事件管理 (SIEM) 工具提取警报。

• 可移动设备控制
  Microsoft Defender for Endpoint 提供多种监视和控制功能来帮助防止来自可移动设备的威胁，包括允许或阻止特定硬件 ID 的新设置。

• 支持 iOS 和 Android 设备
  现在支持 iOS 和 Android 设备，并且可以加入服务。

• 威胁分析
  威胁分析是 Microsoft Defender for Endpoint 研究团队在发现新出现的威胁和爆发后立即发布的一组交互式报告。 这些报告可帮助安全运营团队评估对其环境的影响，并提供建议的操作来遏制影响、提高组织的复原能力以及防止特定威胁。

• Windows 10 版本 1809 中有两个新的攻击面减少规则：

  • 阻止 Adobe Reader 创建子进程

  • 阻止 Office 通信应用程序创建子进程

• Microsoft Defender 防病毒

• 反恶意软件扫描接口 (AMSI) 也已扩展为涵盖 Office VBA 宏。 Office VBA + AMSI：在恶意宏上分手。

  • Microsoft Defender 防病毒是 Windows 10 版本 1809 中的新增功能，现在可以在沙盒 (预览版) 中运行 ，从而提高其安全性。

  • 为 Microsoft Defender 防病毒扫描配置 CPU 优先级设置。

2018 年 3 月

• 高级搜寻
  在 Microsoft Defender for Endpoint 中使用高级搜寻查询数据。

• 攻击面减少规则
  新引入的攻击面减少规则包括：

  • 使用针对勒索软件的高级防护

  • 阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据

  • 阻止源自 PSExec 和 WMI 命令的进程创建

  • 阻止从 USB 运行的不受信任和未签名的进程

  • 阻止来自电子邮件客户端和 Webmail 的可执行内容

• 自动调查和修正
  使用自动调查来调查和修正威胁。

  注意

  可从 Windows 10 版本 1803 或更高版本获取。

• 条件访问
  启用条件访问以更好地保护用户、设备和数据。

• Microsoft Defender for Endpoint 社区中心
  Microsoft Defender for Endpoint 社区中心是社区成员学习、协作和共享产品体验的地方。

• 受控文件夹访问
  现在可以使用受控文件夹访问阻止不受信任的进程写入磁盘扇区。

• 载入非 Windows 设备
  Microsoft Defender for Endpoint 为 Windows 和非 Windows 平台提供集中式安全操作体验。 你将能够在 Microsoft Defender 安全中心看到各种受支持的操作系统 (OS) 的警报，并更好地保护组织的网络。

• 基于角色的访问控制 (RBAC)
  使用基于角色的访问控制 (RBAC) ，可以在安全运营团队中创建角色和组，以授予对门户的适当访问权限。

• Microsoft Defender 防病毒
  Microsoft Defender 防病毒现在在 M365 服务之间共享检测状态，并与 Microsoft Defender for Endpoint 互操作。 有关详细信息，请参阅 通过云提供的保护在 Microsoft Defender 防病毒中使用下一代技术。

• 首次看到时阻止现在可以阻止不可移植的可执行文件 (，例如 JS、VBS 或宏) 和可执行文件。 有关详细信息，请参阅 首次看到时启用阻止。