微软对自家的 Windows Defender 很有信心,而最近也受到高度肯定,在 AV-TEST 2021 年 12 月与 2021 年 10 月里面获得特别高的排名与得分,但在 AV-Comparatives 对 Defender 的评价要差得多,与 McAfee 等一些替代品有相当的落差。
Windows Defender 重大改进,使排除资料夹的恶意软体更难绕过扫描
虽说在两种排行中存在分数差异,但有件事却两项评估中都获得肯定,Windows Defender 的分数在 2021 年下半都变得更好,这表示微软在该领域取得良好的显着进展,随着时间进入 2022 年,它仍然继续在改良中,没有因此而停下来。
一位名为 CISOwithHoodie 的安全研究人员在 Twitter 上面表示,近期微软对於 Windows Defender 的排除项目许可权做出了非常重要的改变。在过去,被设定为排除的资料夹和目录是所有人都可以看到,并且能够从注册表位址「HKLMSoftwareMicrosoftWindows DefenderExclusions」中轻松获得。但在这次的修改後,仅具备管理员权限的人员才能查看那些资料夹与文件被设定为排除扫描项目(如下图)。
No, this is fairly new though. I also have to enter Admin credentials to get the Exclusions within the Virus and Threat Protection console. This was certainly not the case last week. pic.twitter.com/QJl7vtc66P
— CISOwithHoodie (@SecGuru_OTX) February 10, 2022
在之前,你可以试着以命令查询注册表以查找排除项,在微软这次更改後,用同样发法来查找亦会出现错误讯息,指出访问遭到拒绝,如下图所示:
pic.twitter.com/sYSL9ryFXI
— CISOwithHoodie (@SecGuru_OTX) February 10, 2022
CERT 的漏洞分析师 Will Dorman 也在 Twitter 中证实,基於注册表的策略更改现在也受到保护。
Assuming you meant HKLMSOFTWAREPoliciesMicrosoftWindows DefenderExclusions
, that is also protected. pic.twitter.com/2yUZPIgHY6— Will Dormann (@wdormann) February 10, 2022
如果你想知道为什麽这个更动为甚麽如此重要,那麽下面笔者来帮你释疑。当排除项目是所有人都可以看到的时候,不肖人士就能够轻松地将恶意有效负载偷偷地塞入其中一个被你排除的资料夹中,已完全绕过 Windows Defender 的扫瞄。截至目前为止还不晓得微软会在什麽时间点提供更新,但普遍猜测会是在最近的二月星期二更新中引进。