微軟對自家的 Windows Defender 很有信心,而最近也受到高度肯定,在 AV-TEST 2021 年 12 月與 2021 年 10 月裡面獲得特別高的排名與得分,但在 AV-Comparatives 對 Defender 的評價要差得多,與 McAfee 等一些替代品有相當的落差。
Windows Defender 重大改進,使排除資料夾的惡意軟體更難繞過掃描
雖說在兩種排行中存在分數差異,但有件事卻兩項評估中都獲得肯定,Windows Defender 的分數在 2021 年下半都變得更好,這表示微軟在該領域取得良好的顯著進展,隨著時間進入 2022 年,它仍然繼續在改良中,沒有因此而停下來。
一位名為 CISOwithHoodie 的安全研究人員在 Twitter 上面表示,近期微軟對於 Windows Defender 的排除項目許可權做出了非常重要的改變。在過去,被設定為排除的資料夾和目錄是所有人都可以看到,並且能夠從註冊表位址「HKLM\Software\Microsoft\Windows Defender\Exclusions」中輕鬆獲得。但在這次的修改後,僅具備管理員權限的人員才能查看那些資料夾與文件被設定為排除掃描項目(如下圖)。
No, this is fairly new though. I also have to enter Admin credentials to get the Exclusions within the Virus and Threat Protection console. This was certainly not the case last week. pic.twitter.com/QJl7vtc66P
— CISOwithHoodie (@SecGuru_OTX) February 10, 2022
在之前,你可以試著以命令查詢註冊表以查找排除項,在微軟這次更改後,用同樣發法來查找亦會出現錯誤訊息,指出訪問遭到拒絕,如下圖所示:
— CISOwithHoodie (@SecGuru_OTX) February 10, 2022
CERT 的漏洞分析師 Will Dorman 也在 Twitter 中證實,基於註冊表的策略更改現在也受到保護。
Assuming you meant HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions
, that is also protected. pic.twitter.com/2yUZPIgHY6— Will Dormann (@wdormann) February 10, 2022
如果你想知道為什麼這個更動為甚麼如此重要,那麼下面筆者來幫你釋疑。當排除項目是所有人都可以看到的時候,不肖人士就能夠輕鬆地將惡意有效負載偷偷地塞入其中一個被你排除的資料夾中,已完全繞過 Windows Defender 的掃瞄。截至目前為止還不曉得微軟會在什麼時間點提供更新,但普遍猜測會是在最近的二月星期二更新中引進。