这年头 Windows 电脑还需要杀毒软件吗?现在搜索这个问题,你会发现很多建议都是裸奔。也就是说,对于普通人来说,只使用微软自带的免费 Windows Defender 足够了。
那么非普通人,比如网络安全工程师和黑客,用什么呢?没想到他们也说 Windows 自带就够了,只需要再强化一下。一个黑客大神,曾经是公司的网络安全主管,现在是自己的漏洞猎人h0ek 在 Hacker News 引起热议。
大神所说的强化并不复杂,即微软原本为企业客户准备的隐藏功能已经开启。过去,他们公司使用的计划是 Windows Defender微软 Azure 上述云原生防护服务 Sentinel。他发现,一些高级功能也可以在个人版本和家庭版本的操作系统中打开,这样个人电脑也可以有企业级的保护。
打开隐藏功能
h0ek 隐藏功能,全称微软高级保护服务 MAPS。这是一种由知识图谱和机器学习驱动的云安全防护,用于识别病毒库中从未出现过的新威胁。
组策略编辑器需要使用此功能。Windows 10/11 专业版和企业版按 Win R→输入”gpedit.msc”即可。
在组策略编辑器中找到计算机配置模板→管理模版→Windows 组件→Windows Defender 防病毒→MAPS。进入项目并选择启用。以下选项可选择基本或高级,选择只上传少量必要的数据。
在个人版和家庭版中,默认情况下不能使用组策略编辑器,需要用脚本打开 MAPS 功能。以管理员权限打开 PowerShell,输入“Get-MpRreference检查安全设置。MAPSReporting 控制 MAPS 设置,0 关闭,1 是基本模式,2 是高级模式。
输入“Set-MpPreference -MAPSReporting 2可以打开高级模式。
其他一些设置也可以在这里进行,比如 SignatureUpdateInterval 控制签名更新的间隔,h0ek 建议设置为每小时 1 次。
CloudBlockLevel 控制云阻挡级别,可设置为 0、1、2、4、6,最高为 6,阻挡所有未知的可执行程序。
下一步是打开勒索软件的特殊保护。这更简单,直接在 Windows 有安全控制面板。
最后,h0ek 觉得网上总有人吹嘘自己不需要杀毒软件,以裸奔为荣,也有人觉得免费软件是垃圾,没必要。在他看来,Windows Defender 现在比刚推出的时候进步了很多。加上强化,对于普通用户来说就够了。
也要带脑子上网。
微软安全中心的一名员工看到了这次分享,并自夸。作为一名工程师,我自己也承认这个产品真的很好。他还透露,该产品的进展来自微软多年来收购了许多小型安全公司。例如,他最初只负责自己的项目,现在全球有数百名成员。
这很好。抓住内部员工吸引了更多的人提问和建议。Nim 编程语言的开发者来求助。因为使用 Nim 黑客太多了,现在 Windows Defender 直接把 Nim 的安装程序都误报成了病毒,提交了误报核查目前还没有结果。
也有 Web 开发者来吐槽,说 Windows Defender 的安全防护能力确实足够,即硬盘读写性能太差。特别是 npm 安装的包文件太多,这是他使用付费杀毒软件的唯一原因。
对于这个情况,有评论建议他把开发用的目录从杀毒扫描范围中排除出去,反正恶意程序也不会在那里出现。他认为不行,因为现在 npm 包里藏病毒并不少见。
除了 Web 常用于开发npm, 常用于机器学习Python 包管理工具 PyPI 里面也藏着病毒,伪装成普通的软件包,不小心输错了名字就会被抓住。
正如 h0ek 最后,我想提醒你,没有完美的解决方案。驾驶需要驾照。你不需要在互联网上参加考试,但你必须注意自己。不要点击来历不明的链接保持警惕。人类本身比他的电脑更容易突破。
参考链接:
[1]https://0ut3r.space/2022/03/06/windows-defender/#Potentially-unwanted-software
[2]https://news.ycombinator.com/item?id=30580444
[3]https://docs.microsoft.com/en-us/powershell/module/defender/set-mppreference