Microsoft Defender保护Mac和Linux免受恶意网站的侵害

微软的安全工具不仅仅针对微软平台，因为攻击者不仅仅针对 Windows。在过去的几年里，我们看到威胁格局在不断演变，攻击者和网络罪犯同样以所有平台为目标。我们发现针对非 Windows 平台发现和报告的漏洞数量显着增加，而且在一般的恶意软件和威胁活动中也是如此。

作为占主导地位的桌面操作系统，Windows 曾经是最受攻击者攻击的目标，数据显示，在其他平台上发现的漏洞数量也正在快速上升。

Windows 保护在过去多年中变得越来越好，现在攻击者不再只针对 Windows 端点，而是针对人们认为安全的其他一些端点。

企业网络更加多样化，过去只能连接到企业网络的设备现在也可能连接到互联网。攻击者也发生了变化，因此除了试图破坏端点设备外，他们还以凭据和身份为目标。

端到端安全方法的重要性

检测和防止对端点的攻击只是保护您的网络及其连接的资源的一部分，您不会总能及时发现一切。您需要一种端到端的方法。

在为网络进行威胁建模时，您必须考虑在网络中运行软件或代码的一切，然后制定计划。你打算如何识别这些设备？你打算如何保护它们？您如何处理来自所有类型设备的警报，您是否有剧本可以在所有这些设备上平等地响应这些警报？如果威胁没有被阻止而是被检测到，当警报出现时你将如何跟踪或响应？

从端点开始

虽然不要只依赖端点很重要，但您仍然需要从它们开始。对于您当前未保护的端点尤其如此，因此 Microsoft 计划为每个平台提供完整的安全套件，涵盖漏洞管理、攻击面减少、威胁预防、检测和补救，以及按需 Microsoft Defender Experts 服务。

我们构建的威胁研究、威胁情报、检测和补救内容可以跨所有平台扩展，我们在攻击进行的不同阶段应用它，这样无论客户使用哪种设备，我们都可以阻止攻击。

对于端点，微软目前专注于 Linux、Mac、Android 和 iOS，从反恶意软件和端点检测和响应开始。最近，Defender for Endpoint 添加了适用于 Mac 和 Linux 的新功能，重点是减少攻击面、Web 保护和网络保护。

这些优先级对应于 Microsoft 在每个平台上看到的威胁，以及您可以在具有可用操作系统功能的电话、服务器或笔记本电脑设备上执行的操作。

每个平台都会根据其利用方式带来自己有趣的威胁态势，并且每个平台在反恶意软件或类似 EDR 的解决方案可以在这些平台上执行的操作方面都有其自身的局限性。

使用 Microsoft Defender 进行保护和检测

Web 保护涵盖完全在浏览器中发生的事情：为网站提供信誉评分，阻止以网络钓鱼、恶意软件、漏洞利用或您关注的特定问题而闻名的网站，并跟踪用户输入公司凭据的位置以防他们暴露并且需要改变。

它还可以让您作为企业进行内容过滤并说：'嘿，这些类别的网站在我的网络设备上是允许的，这些类型的类别在我的网络上是不允许的。

使用 Windows 上的 Microsoft Edge，这一切都由浏览器中的 SmartScreen 完成，但您会在 Defender for Endpoint 门户中看到警报和指标（图 A）。

如果你使用其他浏览器——包括 macOS 上的 Edge，它还没有内置网络保护——网络保护功能依赖于网络保护功能（图 B）。

你在浏览器中所做的一切，你也可以在网络上看到，但除此之外你还可以在网络上看到更多，如果我们可以在网络上应用我们的检测能力，那么我们仍然可以在这些平台上阻止同样的威胁。

除了阻止浏览器和其他应用程序连接到恶意站点之外，网络保护还可以减少攻击面以阻止常见攻击，并让防御者分析可能表明正在发生攻击的网络行为。

攻击面保护可阻止中间人攻击并阻止网络上任何受感染的设备连接命令和控制服务器，从而阻止攻击者窃取数据、使用您的设备进行分布式拒绝服务攻击或下载和传播恶意软件。

它还确保用户连接到正确的 Wi-Fi 网络。

恶意 Wi-Fi 是我们许多客户面临的一个相当大的问题。员工最终会连接到一个全的网络或自定义创建的网络，这样他们就可以听到你在你的机器上做什么。

基于网络的攻击仍然是一种威胁。

你在网络上发送一个恶意制作的数据包，它可以用来破坏端点。防病毒和网络保护可能无法阻止它，但我们可能能够检测到后开发活动。

网络保护通过涵盖攻击不同阶段的保护和检测来帮助您提供纵深防御：即使错过了一步，我们也会在下一步中抓住它。

您可以通过直接以及在网络中监控端点来检测更多攻击。

我们能够关联端点上的哪个进程创建了哪些流量以及它试图连接到哪个 IP。

但是，如果您还没有保护某些端点，可能是因为您甚至不知道它们在您的网络上，网络保护功能可以帮助您找到它们。

为此，我们不仅需要在一个端点上，不仅要查看正在为该设备生成的流量，还要查看网络上正在识别的其他设备。将这种检测能力转移到路由器等设备上可以帮助您减少漏报。

并非所有适用于 Windows 设备的端点保护功能都适用于 macOS 和 Linux，并且两者仍处于预览阶段：您无法自定义用户在站点被阻止或出现警告时收到的消息，尽管这可能会出现在未来。

在 Linux 上，网络保护是作为 隧道实现的，Defender 不包括数据丢失防护。macOS 和 Linux 都没有 Defender 的安全管理选项，无需额外的设备管理软件即可管理 Defender 本身的安全设置。

Defender on Linux 支持六个发行版：RHEL 7.2+、CentOS Linux 7.2+、Ubuntu 16 LTS 或更高版本的 LTS、SLES 12+、Debian 9+ 和 Oracle Linux 7.2。在 Mac 上，您需要 macOS 11 或更高版本。

需要保护的易受攻击设备

您的网络上可能还有其他设备需要跟踪和保护。

路由器、打印机、会议室设备、智能电视、智能冰箱：如今各种设备都连接到互联网，这增加了攻击面。

勒索软件由个人攻击者直接部署，而不仅仅是自动脚本，他们正在寻找最简单的进入方式，这可能是您认为不会构成威胁的设备。这就是为什么有一个版本的 Defender for IoT 和 Operational Technology 设备可以使用网络监控而无需代理。

客户真的必须接受这一点，并假设他们在网络上拥有的任何设备都可能成为攻击的入口点。