最近青小蛙看到了一則消息,由于 NVIDIA 在一次網絡攻擊中泄漏了源碼與證書私鑰,已經有虛假的驅動程序與惡意軟件開始傳播。由于使用了“正經”的數字證書私鑰簽名,可以讓操作系統誤以為是合法的發布者,即由 NVIDIA 官方發布的驅動程序或者軟件,就很尷尬。@Appinn
不過,普通用戶也有機會,“讓 Windows Defender 防病毒程序與 Microsoft 云服務無縫協作,利用「微軟高級保護服務」(Microsoft Advanced Protection Service:MAPS)來實時預防未知病毒。”
加固 Windows Defender
Windows Defender 是 Windows 自帶的一攬子保護工具,除了防病毒,還能防止惡意軟件、勒索軟件,有防火墻、應用和瀏覽器保護等功能,默認情況下并沒有開啟云保護,其實只需要幾步,就能加固 Windows Defender 的功能。
來自 0UT3R SPACE(via)的教程:Windows Defender is enough, if you harden it,可以讓我們簡單的打開「微軟高級保護服務」(Microsoft Advanced Protection Service:MAPS)功能,來實時預防未知病毒。
本地策略組編輯器
需要用到本地策略組編輯器,如果你通過 開始 > 運行 > gpedit.msc 能夠打開,就跳過并進行下一步。
Windows 家庭版無法直接使用,需要創建一個名為 gpedit-enable.bat 的批處理文件,內容如下:
@echo off
nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
echo Requesting administrative privileges…
goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
exit /B
:gotAdmin
if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
pushd "%CD%"
CD /D "%~dp0"
pushd "%~dp0"
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3.mum >List.txt dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3.mum >>List.txt
for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
pause
保存并運行 gpedit-enable.bat,然后重啟電腦,運行 gpedit.msc,打開本地策略組編輯器,就能進行下一步了。
加入 MAPS
在 本地策略組編輯器 中,進入:
計算機配置 > 管理模板 > Windows 組件 > Microsoft Defender 防病毒 > MAPS > 加入 Microsoft MAPS
關于 MAPS 的介紹是這樣的:
此策略設置允許你加入 Microsoft MAPS。Microsoft MAPS 是幫助你選擇如何響應潛在威脅的在線社區。該社區還有助于停止新惡意軟件感染的傳播。
你可以選擇發送有關檢測到的軟件的基本信息或附加信息。附加信息幫助 Microsoft 創建新的安全智能,并幫助其保護你的計算機。這些信息中可能包括以下內容: 計算機上已檢測到的項的位置、有害軟件是否已刪除。該信息將會自動進行收集和發送。在某些情況下,可能會無意中將個人信息發送到 Microsoft。但是,Microsoft 不會將這些信息用于識別你的身份或與你聯系。
可能的選項如下:
(0x0) 已禁用(默認值)
(0x1) 基本成員身份
(0x2) 高級成員身份
基本成員身份會將有關已檢測到的軟件的基本信息發送到 Microsoft,包括軟件來源、用戶應用或系統自動應用的操作以及操作是否成功。
高級成員身份除了基本信息以外,還會向 Microsoft 發送有關惡意軟件、間諜軟件和可能不需要的軟件的詳細信息(包括軟件位置、文件名、軟件運行方式以及對你的計算機產生的影響)。
如果啟用此設置,將使用指定的成員身份加入 Microsoft MAPS。
如果禁用或未配置此設置,將不會加入 Microsoft MAPS。
在 Windows 10 中,基本成員身份不再可用,因此將此值設置為 1 或 2 可將設備注冊為高級成員身份。
另外,還需要配置 MAPS 下面的另外幾項:
- 配置“首次看到時阻止”功能
- 配置局部設置替換以便向 Microsoft MAPS 報告
- 需要進一步分析時發送文件示例
- 發送安全示例
選擇云保護級別
計算機配置 > 管理模板 > Windows 組件 > Microsoft Defender 防病毒 > MpEngine:
- 配置擴展的云檢查(50秒)
- 選擇云保護級別(按需)
上面的 50 秒的意思是允許 Microsoft Defender 防病毒阻止某個可疑文件最長 60 秒,并且在云中進行掃描以確保其安全。而保護級別,可以參見下面的說明:
(0x0)默認 Microsoft Defender 防病毒阻止級別
(0x1)中級 Microsoft Defender 防病毒阻止級別,只為高可信度檢測提供判定結果
(0x2)高級阻止級別 - 嚴格阻止未知文件,同時優化客戶端性能(誤報可能性更大)
(0x4)特高級阻止級別 – 嚴格阻止未知文件并應用其他保護措施(可能影響客戶端性能)
(0x6)零容忍阻止級別 – 阻止所有未知的可執行文件
至此甚至完成,重啟電腦。
另外還有一點是需要更新你的系統至最新,雖然這個更新很煩,但…這個世界太不安全啦。
更多信息可參見:云保護和 Microsoft Defender 防病毒軟件
![CrystalDiskMark 7 發布,更萌的硬盤檢測工具[Windows] 5](https://images3cdn.appinn.com/wp-content/uploads/2019/11/crystaldiskinfo.jpgo_-115x115.jpg "CrystalDiskMark 7 發布,更萌的硬盤檢測工具[Windows] 6")
![符號包裹 - Excel 都能干的活:為文字列表批量添加/刪除序號、書名號,分隔文字[Windows] 6](https://images3cdn.appinn.com/wp-content/uploads/2024/01/Appinn-feature-images-26-115x115.jpg "符號包裹 - Excel 都能干的活:為文字列表批量添加/刪除序號、書名號,分隔文字[Windows] 7")