18、Windows 10 高级安全与配置指南

Windows 10 高级安全与配置指南

1. Windows Defender 高级威胁防护

1.1 请求深度分析

在 ATP 门户中可发起深度分析请求。当在调查中发现可疑文件时，可查看其详细信息，立即知晓该文件是否已被检测过。报告还会显示环境中其他机器检测到该文件的数量。若认为文件可疑，可选择深度分析请求并提交给微软进行调查，若发现问题，会收到结果通知。

1.2 停止并隔离文件

若“操作”按钮呈蓝色激活状态，可选择“停止并隔离文件”操作来遏制攻击，此时用户会收到文件被隔离的提示。

1.3 阻止文件

若要阻止某个文件在所有地方被使用，可选择阻止文件操作。此操作会确保该文件不仅在当前机器上被隔离，还会在所有注册到 ATP 服务的端点上被隔离。不过，由于该操作可能对整个环境产生广泛影响，需在“首选项”设置的“高级功能”中启用此功能。该选项适用于文件和可执行文件，可防止运行不必要的应用程序，但对微软签名的文件此操作会被禁用，以避免对组织内机器造成负面影响。

1.4 转向 Office 365

在 Windows Defender ATP 门户中调查攻击时，若发现可疑文件源自电子邮件或存在于其他邮箱中，可选择启动 Office 365 ATP 门户（https://protection.office.com/#/threatexplorer）。Windows Defender ATP 门户会提供在所有邮箱中搜索和过滤特定文件所需的详细信息，管理员可在 Office 365 中创建事件并附加受影响的电子邮件。

以下是操作流程的 mermaid 流程图：