我正在尝试提高我们在 Microsoft Defender 上的曝光分数,并注意到“通过 WMI 事件订阅阻止持久性”有一个补救措施,我已经应用了近一个月了。
补救措施:
确保已将 Microsoft Defender 防病毒软件作为主要防病毒解决方案打开,并启用实时保护。(鉴于 0 个暴露设备和 0 个影响,已检查并应用)
使能够这使用组策略在阻止模式下的 ASR 规则(已完成)
然而,尽管攻击面减少规则阻止了通过 WMI 事件订阅实现的持久性,正如 MEM(端点管理器/intune)所报告的那样,
它似乎并没有真正与 Microsoft Defender 上的补救措施同步。影响似乎保持不变,甚至我的 PC,尽管进行了最新更新,似乎仍然反映为暴露设备。
