微软把Microsoft Defender for Endpoint威胁整治措施的预设值，从半自动改为全自动

微软周日（1/17）宣布，将把Microsoft Defender for Endpoint端点安全的威胁调查与整治能力的预设值，从原本的半（Semi）自动切换成全（Full）自动，以让系统在确定装置上的威胁实体之后，能够直接采取整治行动，而不必再经过管理人员的允许，降低企业被危害的概率。只要是加入公开预览版的Microsoft Defender for Endpoint用户，在2月16日就会自动升级到此一新预设。

Microsoft Defender for Endpoint原本的自动调查与整治能力的预设值为半自动，它会在侦测到机器上的可疑行动之后自动展开调查，针对恶意实体进行分析，调查相关的档案、程序、服务、登录机码，或是任何可能含有恶意证据的区域，之后列出恶意/可疑/干净清单，同时对于恶意的实体建立整治行动的建议。

半自动与全自动的差异始于此处，在半自动的设定中，整治行动必须经由管理人员自远端连结装置并核准之后才进行，而在全自动的设定中，在提出整治行动的建议之后就会直接采取缓解措施，像是移除或限制恶意实体。而假设所侦测到的装置或档案并非真正的威胁，管理人员则可撤销该整治行动。

微软说明，他们一直在提升恶意程式侦测的准确性，改善自动化调查基础设施，也新增了撤销整治行动的选项，根据这一年来的资料搜集与分析，采用全自动化设定的组织所移除的可靠恶意程式样本，比其它设定多出了40%，对于那些仍以半自动作为预设的业者而言，将会因为还要等待管理人员手动批准，而曝露在高度风险中。

总之，微软期望企业可以信任Microsoft Defender for Endpoint的自动调查能力、恶意程式判别能力、所建议的整治行动，以及撤销整治行动的能力。

此一新的设定将会率先出现在Microsoft Defender for Endpoint的公开预览版中，只要参与预览版的Microsoft Defender for Endpoint客户，将会在今年的2月16日看到此一预设值的变更，但客户也可将预设切换为半自动。