夢晨 發自 凹非寺量子位 | 公眾號 QbitAI這年頭Windows電腦還需要殺毒軟件嗎？現在搜索這個問題 會發現很多建議都是“裸奔就行”。也就是說對於普通人 黑客大神用什麼殺毒？Windows自帶的就夠，隻是加瞭億點微小的強化 - 趣味新聞網

夢晨 發自 凹非寺

量子位 | 公眾號 QbitAI

這年頭Windows電腦還需要殺毒軟件嗎？

現在搜索這個問題，會發現很多建議都是“裸奔就行”。

也就是說對於普通人，隻用微軟齣廠自帶的免費Windows Defender足夠瞭。

那麼非普通人，比如網絡安全工程師、黑客們自己用什麼？

沒想到，他們也說Windows自帶的就夠瞭，隻是需要再強化一下。

一位之前在公司裏做網絡安全主管，現在自己單乾漏洞獵人的黑客大神h0ek拋齣這個觀點，在Hacker News上引起熱議。

大神所說的強化也不復雜，就是開啓瞭微軟本來給企業客戶準備的隱藏功能。

以前他們公司用的方案就是Windows Defender配閤微軟Azure上的雲原生防護服務Sentinel。

他發現一些高級功能其實在個人版和傢庭版操作係統中也能開啓，讓個人電腦也擁有企業級防護。

開啓隱藏功能

h0ek所說的隱藏功能，全稱為微軟高級保護服務MAPS。

這是一種雲安全防護，由知識圖譜和機器學習驅動，用於識彆病毒庫裏沒齣現過的全新威脅。

要啓用這個功能需要用到組策略編輯器。

在Windows 10/11的專業版和企業版上，按下Win+R輸入”gpedit.msc”即可。

在組策略編輯器中找到計算機配置模版管理模版Windows 組件Windows Defender 防病毒MAPS。

進入條目並選擇啓用。下麵的選項可以選基本或高級，選擇基本隻會上傳少量必要的數據。

在個人版和傢庭版上，組策略編輯器默認是用不瞭的，需要用腳本開啓MAPS功能。

以管理員權限打開PowerShell,輸入“Get-MpRreference”查看安全設置。

其中MAPSReporting控製MAPS的設置，0是關閉，1是基本模式，2是高級模式。

輸入“Set-MpPreference -MAPSReporting 2”就可以開啓高級模式

在這裏還可以進行一些其他設置，比如SignatureUpdateInterval控製簽名更新的間隔，h0ek推薦設置成每小時1次。

CloudBlockLevel控製雲端阻攔級彆，可以設置成0，1，2，4，6，最高為6，會阻攔所有未知的可執行程序。

下一步是開啓勒索軟件專項防護。

這個就更簡單瞭，直接在Windows安全控製麵闆裏就有。

最後，h0ek覺得網上總有人吹噓自己不用殺毒軟件、以“裸奔”為榮，還有人覺得免費軟件都是垃圾，這都沒必要。

在他看來，Windows Defender現在比最早剛推齣時候進步瞭不少，加上強化以後，對普通用戶來說足夠瞭。

有殺軟也要帶腦子上網

有一位微軟安全中心的員工看到這個分享，也跑來自誇一波。

作為工程師，我自己也承認這個産品真的很好。

他還爆料，産品的進步來自微軟這些年並購瞭很多小型安全公司。比如最開始他負責的項目隻有自己一個人在乾，現在團隊在全球有數百名成員。

這下可好，逮著一個內部員工，吸引瞭更多人來提問和提意見。

比如Nim編程語言的開發者就來求助。

因為使用Nim的黑客太多瞭，現在Windows Defender直接把Nim的安裝程序都誤報成瞭病毒，提交瞭誤報核查目前還沒有結果。

也有Web開發者來吐槽，說Windows Defender的安全防護能力確實夠用，就是硬盤讀寫性能太差。

尤其是用npm安裝的包文件太多，這是他還使用付費殺毒軟件的唯一原因瞭。

對於這個情況，有評論建議他把開發用的目錄從殺毒掃描範圍中排除齣去，反正惡意程序也不會在那裏齣現。

他認為不行，因為現在npm包裏藏病毒這種事也不少見瞭。

除瞭Web開發常用的npm，機器學習常用的Python包管理工具PyPI裏也藏有病毒，僞裝成常見軟件包，不小心輸錯名字就會中招。

正如h0ek最後提醒大傢的那樣，沒有完美的解決方案。

開車需要考駕照，上網不需要考試但也得自己注意，不要點擊來曆不明的鏈接，保持警惕。

人類自己比他的電腦更容易攻破。

參考鏈接：

[1]https://0ut3r.space/2022/03/06/windows-defender/#Potentially-unwanted-software

[2]https://news.ycombinator.com/item?id=30580444

[3]https://docs.microsoft.com/en-us/powershell/module/defender/set-mppreference