發表日期 3/12/2022, 2:13:15 PM
夢晨 發自 凹非寺
量子位 | 公眾號 QbitAI
這年頭Windows電腦還需要殺毒軟件嗎?
現在搜索這個問題,會發現很多建議都是“裸奔就行”。
也就是說對於普通人,隻用微軟齣廠自帶的免費Windows Defender足夠瞭。
那麼非普通人,比如網絡安全工程師、黑客們自己用什麼?
沒想到,他們也說Windows自帶的就夠瞭,隻是需要再強化一下。
一位之前在公司裏做網絡安全主管,現在自己單乾漏洞獵人的黑客大神h0ek拋齣這個觀點,在Hacker News上引起熱議。
大神所說的強化也不復雜,就是開啓瞭微軟本來給企業客戶準備的隱藏功能。
以前他們公司用的方案就是Windows Defender配閤微軟Azure上的雲原生防護服務Sentinel。
他發現一些高級功能其實在個人版和傢庭版操作係統中也能開啓,讓個人電腦也擁有企業級防護。
開啓隱藏功能
h0ek所說的隱藏功能,全稱為微軟高級保護服務MAPS。
這是一種雲安全防護,由知識圖譜和機器學習驅動,用於識彆病毒庫裏沒齣現過的全新威脅。
要啓用這個功能需要用到組策略編輯器。
在Windows 10/11的專業版和企業版上,按下Win+R輸入”gpedit.msc”即可。
在組策略編輯器中找到計算機配置模版管理模版Windows 組件Windows Defender 防病毒MAPS。
進入條目並選擇啓用。下麵的選項可以選基本或高級,選擇基本隻會上傳少量必要的數據。
在個人版和傢庭版上,組策略編輯器默認是用不瞭的,需要用腳本開啓MAPS功能。
以管理員權限打開PowerShell,輸入“Get-MpRreference”查看安全設置。
其中MAPSReporting控製MAPS的設置,0是關閉,1是基本模式,2是高級模式。
輸入“Set-MpPreference -MAPSReporting 2”就可以開啓高級模式
在這裏還可以進行一些其他設置,比如SignatureUpdateInterval控製簽名更新的間隔,h0ek推薦設置成每小時1次。
CloudBlockLevel控製雲端阻攔級彆,可以設置成0,1,2,4,6,最高為6,會阻攔所有未知的可執行程序。
下一步是開啓勒索軟件專項防護。
這個就更簡單瞭,直接在Windows安全控製麵闆裏就有。
最後,h0ek覺得網上總有人吹噓自己不用殺毒軟件、以“裸奔”為榮,還有人覺得免費軟件都是垃圾,這都沒必要。
在他看來,Windows Defender現在比最早剛推齣時候進步瞭不少,加上強化以後,對普通用戶來說足夠瞭。
有殺軟也要帶腦子上網
有一位微軟安全中心的員工看到這個分享,也跑來自誇一波。
作為工程師,我自己也承認這個産品真的很好。
他還爆料,産品的進步來自微軟這些年並購瞭很多小型安全公司。比如最開始他負責的項目隻有自己一個人在乾,現在團隊在全球有數百名成員。
這下可好,逮著一個內部員工,吸引瞭更多人來提問和提意見。
比如Nim編程語言的開發者就來求助。
因為使用Nim的黑客太多瞭,現在Windows Defender直接把Nim的安裝程序都誤報成瞭病毒,提交瞭誤報核查目前還沒有結果。
也有Web開發者來吐槽,說Windows Defender的安全防護能力確實夠用,就是硬盤讀寫性能太差。
尤其是用npm安裝的包文件太多,這是他還使用付費殺毒軟件的唯一原因瞭。
對於這個情況,有評論建議他把開發用的目錄從殺毒掃描範圍中排除齣去,反正惡意程序也不會在那裏齣現。
他認為不行,因為現在npm包裏藏病毒這種事也不少見瞭。
除瞭Web開發常用的npm,機器學習常用的Python包管理工具PyPI裏也藏有病毒,僞裝成常見軟件包,不小心輸錯名字就會中招。
正如h0ek最後提醒大傢的那樣,沒有完美的解決方案。
開車需要考駕照,上網不需要考試但也得自己注意,不要點擊來曆不明的鏈接,保持警惕。
人類自己比他的電腦更容易攻破。
參考鏈接:
[1]https://0ut3r.space/2022/03/06/windows-defender/#Potentially-unwanted-software
[2]https://news.ycombinator.com/item?id=30580444
[3]https://docs.microsoft.com/en-us/powershell/module/defender/set-mppreference