在网络安全威胁日益严峻的今天,微软正在为其企业级端点防护方案 Microsoft Defender for Endpoint (MDE) 注入新的活力。通过引入全新的 Microsoft 安全功能分数 (Secure Score) 建议,微软旨在帮助组织更主动地识别风险、加固配置,从而构建更稳健的安全基线。
🛡️ 核心更新:从“被动防御”到“主动加固”
此次更新的核心在于将具体的安全加固措施直接整合进 安全功能分数 仪表盘。
- 发布时间表:该功能已于 2026 年 2 月底进入 公共预览版 (Public Preview),并计划于 3 月中旬 完成全面推送。
- 运作机制:系统会自动扫描组织的 MDE 环境,识别出那些“默认关闭但能显著提升安全性”的配置项,并将其转化为具体的“建议行动”。
- 非侵入式更新:微软强调,这些建议不会自动更改现有配置。管理员必须手动审查并启用相关设置,确保业务连续性不受影响。
🔍 首批关键建议:直击高危攻击面
在公共预览阶段,微软重点推出了两项针对常见攻击向量的高价值建议:
1. 🚫 强化 SMB 服务器安全性 (防身份验证中继攻击)
- 背景:SMB (Server Message Block) 协议常被攻击者利用进行 NTLM 中继攻击 (Relay Attacks),从而窃取凭据或横向移动。
- 建议措施:启用特定的 SMB 签名或加密要求,强制客户端与服务器进行双向认证,彻底阻断中继攻击路径。
- 现状:由于兼容性考虑,该功能默认往往处于关闭或宽松状态,需要管理员评估后开启。
2. 📁 阻止通过远程桌面 (RDP) 进行文件传输
- 背景:RDP 是远程办公的标配,但也常成为勒索软件和数据泄露的通道。攻击者一旦攻入内网,常利用 RDP 的文件复制功能将恶意软件植入内网,或将敏感数据拷出。
- 建议措施:在组策略或 MDE 配置中,明确禁止通过 RDP 会话进行驱动器重定向和文件剪贴板传输。
- 价值:在不影响远程操控的前提下,切断了一条关键的数据 exfiltration (外泄) 和 malware delivery (投递) 路径。
📈 对企业的意义
对于拥有大量客户数据、面临国家支持的黑客组织 (Nation-State Actors) 威胁的企业来说,这一更新至关重要:
- 量化安全态势:安全功能分数将实时反映组织对这些建议的采纳情况。分数提升意味着暴露面减少,安全基线更牢固。
- 简化合规流程:将复杂的安全配置转化为清晰的“待办事项”,降低了安全团队的运营门槛。
- 主动防御:不再等待漏洞爆发,而是提前关闭那些常被利用但容易被忽视的“后门”。
📝 管理员行动指南
微软建议所有 MDE 管理员立即采取以下行动:
- 登录控制台:访问 Microsoft 365 管理中心 或 Microsoft Defender 门户。
- 查看建议:导航至 安全功能分数 (Secure Score) 页面,查找标记为“新”或“预览”的建议项。
- 评估与实施:
- 仔细阅读每项建议的影响范围(特别是 SMB 和 RDP 设置,需测试对旧版应用的影响)。
- 在测试环境中验证后,逐步在生产环境中启用。
- 团队同步:将变更通知给安全运营中心 (SOC) 和端点管理团队,并更新内部安全文档。
- 持续监控:关注消息 ID MC1251207 以获取最新官方文档,并跟踪分数的变化趋势。
评论