Windows Defender ATP: настройка корпоративной защиты Endpoint
Безопасность
windows-defender-atp-setup

Microsoft Defender for Endpoint: настройка корпоративной EDR-защиты

ЕС
Евгений Семёнов
Генеральный директор ООО АйТи Фреш · 15+ лет в IT
25 марта 2026 ~12 минут ООО АйТи Фреш

Классический антивирус — это, по сути, уже музейный экспонат. Microsoft Defender for Endpoint (ранее ATP) — полноценное EDR-решение корпоративного уровня, которое уже встроено в Windows. Мы развернули его в десятках компаний и знаем, где грабли.

Реальный случай: Бухгалтер открыла вложение «от налоговой». Стандартный антивирус пропустил — fileless malware через PowerShell. Defender for Endpoint обнаружил подозрительную цепочку процессов и заблокировал атаку на стадии lateral movement.

Что такое Defender for Endpoint?

Какие лицензии нужны?

Как развернуть через Intune?

  1. Открываете security.microsoft.com → Settings → Endpoints → Onboarding
  2. Deployment method выбираете Microsoft Intune
  3. Скачиваете onboarding package — он понадобится чуть позже
  4. В Intune: Endpoint security → EDR → Create policy — именно в таком порядке
  5. Назначаете политику на нужную группу устройств
# Альтернатива: onboarding через GPO
# Computer Configuration -> Windows Components ->
# Microsoft Defender for Endpoint -> Onboarding -> Enable

Как настроить ASR-правила?

# Блокировать exe из email
Set-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550   -AttackSurfaceReductionRules_Actions Enabled

# Блокировать процессы из Office
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899   -AttackSurfaceReductionRules_Actions Enabled

# Блокировать обфусцированные скрипты
Set-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC   -AttackSurfaceReductionRules_Actions Enabled
Совет: Сначала включите ASR в режиме Audit на 2 недели. Проанализируйте логи. Потом переключайте в Block.

Как работает Automated Investigation?

  1. Анализ алерта и сбор артефактов — система делает это автоматически за секунды
  2. Корреляция с MITRE ATT&CK — сразу понятно, что за техника и какой актор
  3. Определение затронутых устройств — видите весь масштаб инцидента, а не только верхушку
  4. Автоматическое устранение: карантин файла, остановка процесса — без участия человека
Не рискуйте инфраструктурой

Доверьте развертывание Defender for Endpoint профессионалам

Наши инженеры настроят всё быстро и надёжно. Более 15 лет опыта, работа с юрлицами, договор, SLA. Не тратьте время на эксперименты — звоните.

Как использовать Threat Hunting через KQL?

// Подозрительные PowerShell-команды за 7 дней
DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName == "powershell.exe"
| where ProcessCommandLine has_any ("-enc", "bypass", "downloadstring", "iex")
| project Timestamp, DeviceName, AccountName, ProcessCommandLine

// Lateral movement через PsExec
DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName == "psexec.exe"
| project Timestamp, DeviceName, ProcessCommandLine

// Подозрительные сетевые подключения
DeviceNetworkEvents
| where RemotePort in (4444, 5555, 8888, 9001)
| project Timestamp, DeviceName, RemoteIP, RemotePort

Как настроить Web Content Filtering?

Фильтрация веб-трафика настраивается прямо в Security Center — никакого прокси-сервера, никаких лишних агентов. Фишинговые сайты, торренты, азартные игры, сайты для взрослых — всё блокируется по категориям. На практике у одного клиента мы закрыли торренты за 15 минут после того, как они два года безуспешно боролись с этим через сторонние решения.

Как интегрировать с SIEM?

Какие типичные ошибки?

Как правильно настроить исключения без ущерба для безопасности?

Исключения — больная тема. Без них 1С и ряд других бизнес-приложений начинают тормозить, и пользователи сразу жалуются. Но широкие исключения — это дыры, которыми malware пользуется осознанно. Наша практика: исключать конкретные процессы по хешу, а не по пути. Путь можно подменить, хеш — нет. Исключённые пути при этом ставьте под мониторинг через Indicators of Compromise (IoC) в Security Center. И раз в квартал — обязательный пересмотр списка исключений. Без этого через год там будет такой зоопарк, что разобраться сложнее, чем с нуля всё настроить.

Когда обратиться к профессионалам?

Факт: Среднее время обнаружения взлома без EDR — 197 дней. С Defender for Endpoint — минуты.

Часто задаваемые вопросы

Defender for Endpoint бесплатный?

Базовый Defender Antivirus — да. EDR требует лицензию Microsoft 365 E3/E5 или Business Premium.

Нужен ли сторонний антивирус?

Нет. Defender for Endpoint — полноценное EDR, превосходящее большинство сторонних антивирусов.

Работает ли на Linux и macOS?

Да, MDE поддерживает Windows, macOS, Linux, Android и iOS.

Что такое ASR-правила?

Attack Surface Reduction — правила, блокирующие типичные техники атак: exe из email, макросы Office, обфусцированные скрипты.

Как быстро обнаруживает угрозы?

В реальном времени. Microsoft обрабатывает 65 триллионов сигналов ежедневно.

Нужна помощь специалистов?

ООО «АйТи Фреш» возьмёт это на себя

Не хватает времени или своих специалистов — мы настроим, оптимизируем и возьмём вашу IT-инфраструктуру на постоянное сопровождение. Работаем с юридическими лицами в Москве и регионах. Собственный дата-центр, команда из 8 серверов Dell Xeon Platinum 8280 на базе МТС.

15+лет опыта
25+клиентов
40Gсвоя сеть
24/7поддержка

Подпишитесь на рассылку ITfresh

Каждую неделю мы выпускаем практические гайды для руководителей IT и системных администраторов. Это не просто теория! Здесь вы найдёте всё: безопасность, 1С, миграции, резервные копии и проверенные лайфхаки из наших реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.