时下开源流行时代,免费杀毒软件也是常态,而且自打杀毒软件免费以后好像常态的病毒似乎已经绝迹,更多的则是网络木马,勒索木马肆虐。对于普通用户来说,不再也没必要购买昂贵的防病毒软件,直接裸奔而通过Windows自带的Windows Defender(WD)就足矣。本文就介绍基于WD的个人电脑安全防护策略。
概述
Windows Defender简单高效友好,是Windows操作系统中内置的防病毒和威胁防护解决方案。它具有帐户、应用程序和浏览器控制、防火墙和网络保护功能,可以确保设备安全。 该软件的界面与您熟悉的标准杀毒软件界面略有不同,它没有太多的配置选项,但是提供了足以满足个人安全配置所需的必须选项。
WD不仅适合个人用户使用,也支持大公司将WD与 Sentinel(SIEM)和ASC结合使用作为企业级的防护系统。
许多防病毒程序的有效性由AV Compares或AV Test来检测哪个防病毒软件是“最好的”。以前WD评分不行,现在逐渐在提高和那些高昂商业杀毒软件相比已经不分伯仲。
本地组策略设置
本地组策略设置是让Defender变得更好和更强大关键。本地组策略编辑器仅在专业版/企业版中可用,但也可以将其添加到Windows的家庭版中。如果不想启用此编辑器,还可以使用PowerShell对其关闭。
可以通过以下PS脚本创建一个可执行文件(适用于 Windows 10 和 11):
@echo offnul 2>&1 "%SYSTEMROOT%system32cacls.exe" "%SYSTEMROOT%system32configsystem"REM --> If error flag set, we do not have admin.if '%errorlevel%' NEQ '0' (echo Requesting administrative privileges…goto UACPrompt) else ( goto gotAdmin ):UACPromptecho Set UAC = CreateObject^("Shell.Application"^) > "%temp%getadmin.vbs"echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%getadmin.vbs""%temp%getadmin.vbs"exit /B:gotAdminif exist "%temp%getadmin.vbs" ( del "%temp%getadmin.vbs" )pushd "%CD%"CD /D "%~dp0"pushd "%~dp0"dir /b %SystemRoot%servicingPackagesMicrosoft-Windows-GroupPolicy-ClientExtensions-Package~3.mum >List.txt dir /b %SystemRoot%servicingPackagesMicrosoft-Windows-GroupPolicy-ClientTools-Package~3.mum >>List.txtfor /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%servicingPackages%%i"pause保存为gpedit-enable.bat。然后运行。重启电脑,然后ctrl+R运行 gpedit.msc. 编辑器打开后。
启用MAPS
Microsoft 高级保护服务 (MAPS) 通过云提供的保护和下一代技术增强标准实时保护。
以下步骤将允许入Microsoft高级保护服务 (MAPS)、配置首次看到时阻止、配置局部设置替换以便向Microsoft MAPS报告、需要进一步分析时发送文件事例、在Windows Defender中选择云保护级别并配置扩展云检查。
在本地组策略编辑器中导航到: 计算机配置> 管理模板> Windows 组件> Windows Defender防病毒> Maps。打开加入Microsoft MAPS选项输入并将其更改为Enabled. 在选项中,可以从下拉菜单 MAPS 级别中进行选择。基本或高级会员资格。
配置首次看到时阻止
然后打开"首次看到时阻止"进入并选择 Enabled. 配置局部设置替换以便向Microsoft MAPS报告、需要进一步分析时发送文件事例。根据喜好选择选项。建议选择“发送安全示例”。
接下来前往
计算机配置> 管理模板> Windows 组件> Windows Defender防病毒>
> MpEngine。
编辑选项“选择云保护级别”,启用它并将选项设置为高阻止级别。该选项将使 Windows Defender 防病毒软件在识别可疑文件时更加积极防护。
最后,在“配置扩展云检查”,启用它并将时间设置为50。典型的云检查超时为10秒。要启用扩展云检查功能,请以秒为单位指定延长时间,最多可再延长50秒。
所有这些配置完成后,重启电脑。
防勒索木马
这可以WD界面启用。只需搜索框键入windows安全中心,转到病毒和威胁防护并在选择该页面的底部选择勒索软件保护,然后点击“管理勒索软件保护”并选择启用“文件限制访问”。
PowerShell
为了配置Defender的一些功能选择,需要通过使用PowerShell命令。以管理员身份运行PowerShell并键入 Get-MpPreference检查当前的 Defender 配置。
签名更新
设置SignatureUpdateInterval为每1小时。
Set-MpPreference -SignatureUpdateInterval 1此外,设置每次扫描开始之前强制更新新签名也很有必要:
Set-MpPreference -CheckForSignaturesBeforeRunningScan 1启用MAPS
如果使用本地组策略编辑器跳过了MAPS设置,也可以在PowerShell中看到相同的选项。
MAPSReporting, 0 – 禁用,2 -启用威胁和附加数据将发送到 MS(高级会员),1-仅基本数据(基本会员)。
使用设置此选项 Set-MpPreference. 这对于之后描述的所有其他选项都是相同的。
SubmitSamplesConsent, 0 – 始终提示,1 – 自动发送安全样本,2 – 从不发送,3 – 自动发送所有样本。
CloudBlockLevel,在文档中描述,在上面的部分中,建议选项 5 – 高阻塞级别。
CloudExtendedTimeout, 调成 50.
可能不需要的软件
这可以从GUI启用,也可以使用 PowerShell。
PUAProtection,指定潜在有害应用程序的检测级别。当可能不需要的软件被下载或试图在计算机上安装时,就会发出告警。
总结
如上所述, WD设置非常简单,每个人都可以按照本文说明基于WD构建一个个人的裸奔个人防护系统。当然为了安全还是要遵守基本的安全原则,那就是“不乱下载安装软件,不下载安装不明来源的软件,不下载盗版&破解(中文汉化)软件”。
声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:dandanxi6@qq.com
