微软的 Defender 最近在 AV-TEST 的 2021 年12 月和2021 年 10 月的最新排名中得分异常出色,获得了高度评价。然而,至少与 McAfee 等一些替代产品相比,AV-Comparatives 对 Defender 的印象要差得多。
不过,在这两种评估中,一件事肯定很常见。微软后卫的得分在 2021 年下半年肯定更好,这意味着雷德蒙德巨人在该领域取得了良好的进展。随着我们进入 2022 年,它看起来仍在改善。
一位 Twitter 用户名为 CISOwithHoodie 的安全研究人员注意到,微软最近对 Windows Defender 排除项的权限进行了非常重要的更改。以前,排除的文件夹和目录对“所有人”都是可见的,可以通过注册表地址轻松获取:“HKLM\Software\Microsoft\Windows Defender\Exclusions”。
但是,在此更新之后,它已被修改为只有具有管理员权限的人才能查看排除的文件和文件夹,如下图所示:
当人们现在尝试使用命令行查询注册表地址以查找排除项时,会弹出一条错误消息说访问被拒绝(下图),而之前,它会显示排除的文件和文件夹。
CERT 的漏洞分析师 Will Dorman 也证实,基于注册表的策略更改现在也受到保护。
如果您想知道为什么这很重要,当每个人都可以看到排除项时,威胁参与者可以轻松地将恶意负载放入其中一个排除的文件夹中,并完全绕过 Windows Defender 扫描。
到目前为止,尚不清楚微软究竟如何虽然正在提供更新,但人们认为最近的2 月补丁星期二是引入更新的时间。