這年頭 Windows 電腦還需要?dú)⒍拒浖?現(xiàn)在搜索這個(gè)問(wèn)題，會(huì)發(fā)現(xiàn)很多建議都是“裸奔就行”。也就是說(shuō)對(duì)于普通人，只用微軟出廠自帶的免費(fèi) Windows Defender 足夠了。

那么非普通人，比如網(wǎng)絡(luò)安全工程師、黑客們自己用什么?沒(méi)想到，他們也說(shuō) Windows 自帶的就夠了，只是需要再?gòu)?qiáng)化一下。一位之前在公司里做網(wǎng)絡(luò)安全主管，現(xiàn)在自己?jiǎn)胃陕┒传C人的黑客大神 h0ek 拋出這個(gè)觀點(diǎn)，在 Hacker News 上引起熱議。

大神所說(shuō)的強(qiáng)化也不復(fù)雜，就是開(kāi)啟了微軟本來(lái)給企業(yè)客戶準(zhǔn)備的隱藏功能。以前他們公司用的方案就是 Windows Defender 配合微軟 Azure 上的云原生防護(hù)服務(wù) Sentinel。他發(fā)現(xiàn)一些高級(jí)功能其實(shí)在個(gè)人版和家庭版操作系統(tǒng)中也能開(kāi)啟，讓個(gè)人電腦也擁有企業(yè)級(jí)防護(hù)。

開(kāi)啟隱藏功能

h0ek 所說(shuō)的隱藏功能，全稱為微軟高級(jí)保護(hù)服務(wù) MAPS。這是一種云安全防護(hù)，由知識(shí)圖譜和機(jī)器學(xué)習(xí)驅(qū)動(dòng)，用于識(shí)別病毒庫(kù)里沒(méi)出現(xiàn)過(guò)的全新威脅。

要啟用這個(gè)功能需要用到組策略編輯器。在 Windows 10/11 的專業(yè)版和企業(yè)版上，按下 Win+R→輸入”gpedit.msc”即可。

在組策略編輯器中找到計(jì)算機(jī)配置模版→管理模版→Windows 組件→Windows Defender 防病毒→MAPS。進(jìn)入條目并選擇啟用。下面的選項(xiàng)可以選基本或高級(jí)，選擇基本只會(huì)上傳少量必要的數(shù)據(jù)。

在個(gè)人版和家庭版上，組策略編輯器默認(rèn)是用不了的，需要用腳本開(kāi)啟 MAPS 功能。以管理員權(quán)限打開(kāi) PowerShell, 輸入“Get-MpRreference”查看安全設(shè)置。其中 MAPSReporting 控制 MAPS 的設(shè)置，0 是關(guān)閉，1 是基本模式，2 是高級(jí)模式。

輸入“Set-MpPreference -MAPSReporting 2”就可以開(kāi)啟高級(jí)模式。

在這里還可以進(jìn)行一些其他設(shè)置，比如 SignatureUpdateInterval 控制簽名更新的間隔，h0ek 推薦設(shè)置成每小時(shí) 1 次。

CloudBlockLevel 控制云端阻攔級(jí)別，可以設(shè)置成 0，1，2，4，6，最高為 6，會(huì)阻攔所有未知的可執(zhí)行程序。

下一步是開(kāi)啟勒索軟件專項(xiàng)防護(hù)。這個(gè)就更簡(jiǎn)單了，直接在 Windows 安全控制面板里就有。

最后，h0ek 覺(jué)得網(wǎng)上總有人吹噓自己不用殺毒軟件、以“裸奔”為榮，還有人覺(jué)得免費(fèi)軟件都是垃圾，這都沒(méi)必要。在他看來(lái)，Windows Defender 現(xiàn)在比最早剛推出時(shí)候進(jìn)步了不少，加上強(qiáng)化以后，對(duì)普通用戶來(lái)說(shuō)足夠了。

有殺軟也要帶腦子上網(wǎng)

有一位微軟安全中心的員工看到這個(gè)分享，也跑來(lái)自夸一波。作為工程師，我自己也承認(rèn)這個(gè)產(chǎn)品真的很好。他還爆料，產(chǎn)品的進(jìn)步來(lái)自微軟這些年并購(gòu)了很多小型安全公司。比如最開(kāi)始他負(fù)責(zé)的項(xiàng)目只有自己一個(gè)人在干，現(xiàn)在團(tuán)隊(duì)在全球有數(shù)百名成員。

這下可好，逮著一個(gè)內(nèi)部員工，吸引了更多人來(lái)提問(wèn)和提意見(jiàn)。比如 Nim 編程語(yǔ)言的開(kāi)發(fā)者就來(lái)求助。因?yàn)槭褂?Nim 的黑客太多了，現(xiàn)在 Windows Defender 直接把 Nim 的安裝程序都誤報(bào)成了病毒，提交了誤報(bào)核查目前還沒(méi)有結(jié)果。

也有 Web 開(kāi)發(fā)者來(lái)吐槽，說(shuō) Windows Defender 的安全防護(hù)能力確實(shí)夠用，就是硬盤讀寫性能太差。尤其是用 npm 安裝的包文件太多，這是他還使用付費(fèi)殺毒軟件的唯一原因了。

對(duì)于這個(gè)情況，有評(píng)論建議他把開(kāi)發(fā)用的目錄從殺毒掃描范圍中排除出去，反正惡意程序也不會(huì)在那里出現(xiàn)。他認(rèn)為不行，因?yàn)楝F(xiàn)在 npm 包里藏病毒這種事也不少見(jiàn)了。

除了 Web 開(kāi)發(fā)常用的 npm，機(jī)器學(xué)習(xí)常用的 Python 包管理工具 PyPI 里也藏有病毒，偽裝成常見(jiàn)軟件包，不小心輸錯(cuò)名字就會(huì)中招。

正如 h0ek 最后提醒大家的那樣，沒(méi)有完美的解決方案。開(kāi)車需要考駕照，上網(wǎng)不需要考試但也得自己注意，不要點(diǎn)擊來(lái)歷不明的鏈接，保持警惕。人類自己比他的電腦更容易攻破。

參考鏈接：

[1]https://0ut3r.space/2022/03/06/windows-defender/#Potentially-unwanted-software

[2]https://news.ycombinator.com/item?id=30580444

[3]https://docs.microsoft.com/en-us/powershell/module/defender/set-mppreference