系统极客一直在努力
专注于操作系统及软件使用教程

Windows 10 Fall Creators Update之「Windows Defender安全中心」新特性

Windows 10 Fall Creators Update(version 1709)已经发布有日了,并逐渐推广到全球数以百万计的兼容 PC。随着新功能的推出和变更,此版本还引入了新的安全增强功能,以便能够及时响应和反击最近增加的针对 Windows 10 的恶意软件和网络攻击。

在新版本「Windows Defender 安全中心」中,微软专注于通过「受控制文件夹的访问」让 Windows 10 能够更安全地应付勒索软件,并帮助组织用户和普通用户使用「Windows Defender 攻击防护」在 Windows Update 修补之前来缓解漏洞。

在本文中,系统极客将向你详细介绍 Windows 10 Fall Creators Update 所附带的「Windows Defender 安全中心」新特性。

受控制文件夹的访问

从 Windows 10 Fall Creators Update 开始「Windows Defender 安全中心」中引入了「受控制文件夹的访问」功能,该功能旨在增加额外的安全性层,以保护用户的文件免受恶意软件和威胁(如勒索软件)的影响。

当启用「受控制文件夹的访问」功能后,新的安全功能就会监控应用程序对存储在特定受保护文件夹中的文件所做的更改。如果被列入黑名单的应用程序尝试操纵文件,此功能特性将会主动进行阻止并在桌面通知中提示用户有可疑活动。

当你打开「受控制文件夹的访问」功能后,默认将保护文档、图片、视频、音乐和桌面文件夹,这些位置不可更改,但你也可以自行添加其它位置,例如:外部磁盘、网络共享和映射的驱动器等。

用户在 Windows 10 中定期使用的大部分应用都将被允许,但如果有你要使用的应用程序被阻止,可以手动「添加允许的应用」以使其在受保护的文件夹中进行更改。

启用「受控制文件夹的访问」

「受控制文件夹的访问」功能在 Windows 10 Fall Creators Update 中默认是禁用状态,你可以在「Windows Defender 安全中心」——「病毒和威胁防护」——「病毒和威胁防护」设置——「受控制文件夹的访问」中手动开启。

添加新位置

如果你想对更多位置的文件夹进行监视和保护,可以点击「受保护的文件夹」链接,然再点击「添加受保护的文件夹」按钮来添加。

添加应用白名单

如果你信任的应用程序被阻止,可以在「病毒和威胁防护」设置页面——通过「受控制文件夹的访问」允许应用——点击「添加允许的应用」按钮来添加受信任的应用白名单。

此功能仅在「Windows Defender 安全中心」是你主要安全软件时有效,如果计算机上运行有第三方防病毒软件,此功能将不可用。

Windows Defender 攻击防护

虽然安全性考量一直是微软的首要任务,但在 Windows 10 之前,微软每次都需要花费多年时间才能发布新版本的操作系统,这样对新威胁的响应就会非常缓慢。为了帮助商业用户提供针对特定漏洞的缓解措施,微软推出了一款名为增强型缓解体验工具包(Enhanced Mitigation Experience Toolkit ,EMET)的工具,以允许用户保持设备安全,而无需等下一个版本的 Windows OS 发布。

然而由于 EMET 并不是 Windows 的一部分,并且在诸多方面也受到限制,所以从 Windows 10 Fall Creators Update 开始,已经可以在「Windows Defender 安全中心」中审核、配置、管理系统和应用程序利用缓解设置。

此功能最为重要的好处在于——即便你使用了第三方反病毒软件,也可以利用「Windows Defender 攻击防护」功能。

自定义「Exploit Protection」设置

在「Windows Defender 安全中心」——「应用和浏览器控制」——「Exploit Protection」——点击「Exploit Protection」设置链接。

在「Exploit Protection」设置中你可以看到「系统设置」和「程序设置」2 个选项卡。在「系统设置」选项卡中,你可以配置的保护设置包括:

  • 控制流量保护(CFG):确保间接调用的控制流完整性。 可选择性地禁止导出和使用严格的 CFG。
  • 数据执行保护(DEP):防止从仅数据内存页(如堆和堆栈)运行代码。 仅可对 32 位 (x86) 应用进行配置,对所有其他体系结构永久启用。 可选择性地启用 ATL thunk 仿真。
  • 强制映像随机化(强制性 ASLR):强制重定位未使用 /DYNAMICBASE 编译的图像。 可选择性地使不具有重定位信息的图像加载失败。
  • 随机化内存分配(自下而上 ASLR):随机化虚拟内存分配的位置,包括用于系统结构堆、堆栈、TEB 和 PEB 的位置。 可选择性地对 64 位进程使用范围更广的随机化差异。
  • 验证异常链(SEHOP):确保异常调度期间的异常链的完整性。 仅可对 32 位 (x86) 应用程序进行配置。
  • 验证堆完整性:当检测到堆损坏时终止进程。

在「程序设置」选项卡中,你可以看到 Exploit Protection 设置当前受保护的应用程序列表。

如果你需要修改特定应用程序的当前设置,只需从列表中选择可执行文件,然后单击「编辑」按钮。 在页面中,你会发现一些安全功能,可以覆盖系统设置并设置自己的规则。

你可以自定义 21 种不同的规则,其中一些包括:

  • 任意代码保护(ACG):防止引入不支持图像的可执行代码和防止代码页被修改。 可选择性地允许会话退出,并允许远程降级(仅可使用 PowerShell 进行配置)。
  • 阻止低完整性映像:防止加载标记为低完整性的图像。
  • 阻止远程映像:防止从远程设备加载图像。
  • 阻止不受信任的字体:防止加载任何在系统字体目录中未安装的基于 GDI 的字体,尤其是来自 Web 的字体。
  • 代码完整性保护:限制加载由 Microsoft、WQL 以及更高版本签名的图像。 可选择性地允许 Windows 应用商店签名的图像。
  • ……

即使在通过安全修补程序或反恶意软件解决方案获得正式修复之前,这些设置也可以增加应对新威胁的额外安全性。

Windows Defender ATP高级威胁防护

Windows Defender ATP 高级威胁防护根植于现成的 Windows 10 安全防护体系,并提供额外的「被突破后」安全防护层和 Windows 10 安全堆栈。通过内置于 Windows 10 和与后端强大云服务的技术结合,非常有助于检测过去难以触及和防御的安全威胁,可以为企业用户提供跨端点的安全违例信息统计并提供响应建议。

此服务系统极客此次介绍过,你可以参阅相关文章

其他改进和更改

在「Windows Defender 安全中心」仪表板的「防火墙和网络保护」选项卡中可以找到另一个小小的更改,现在可以在其中更清楚地查看当前处于活动状态的网络配置文件,该页面还列出了域网络的防火墙设置。

在 Windows 10 企业版本中,微软终于开始提供 Windows Defender Application Guard,这是一个新功能,可以使用 Microsoft Edge 沙箱网页,以防止互联网恶意软件和 0day 攻击感染你的 Windows 10 PC。

Windows Defender Application Guard 最新计划与 Creators Update 一起发布,不过直到现在才与 Windows 10 Fall Creators Update 一同推出。

打赏
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏