论文部分内容阅读
自从 Win10 系统发布以来,Windows Defender 已经成为系统标配的杀毒软件,而且随着 Win10 版本的不断发布也得到了升级。虽然这款杀毒软件每天都默默地守护着系统的安全,但是很多用户对它的相关特性并不是非常了解。那么这款杀毒软件到底还隐藏了哪些不为人知的秘密呢?
彻底关闭系统自带的杀毒软件
虽然Win10系统现在自带了杀毒软件,但是就像浏览器一样,很多用户都会选择使用第三方开发的软件。在早期的 Win10 版本里面,系统会自动检测用户是否安装有第三方的杀毒软件,如果安装有的话就会自动关闭自带的杀毒软件,从而避免两款杀毒软件在系统里面同时运行。
但是自从 Win10 RS5 Build 17672 这个版本发布以来,原来的 Windows Defender 升级为 “Windows安全中心”。这样在安装第三方杀毒软件以后,它必须作为一个受保护的进程注册运行,否则将不会出现在安全中心的UI界面中。换句话说,系统里面就会同时存在两款不同的杀毒软件,这样必然会影响到系统运行的速度。那么如何才能将系统自带的杀毒软件彻底地关闭呢?用户首先双击系统托盘中的“Windows安全中心”图标,在弹出的设置窗口里面,点击左侧的“病毒和威胁防护”按钮,接下来在右侧窗口里找到“病毒和威胁防护设置”选项,点击下面的按钮后就可以看到“实时保护”的选项,现在将这个选项关闭(图1)。
接下来在“运行”框输入“regedit”命令打开注册表,展开到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
Feature。接着在注册表的右侧窗口中,点击鼠标右键并选择菜单中“新建”子菜单中的“DWORD(32位)值”命令,然后将刚刚新建的字符串名称重命名修改为“DisableAvCheck”,接着双击该选项名称并在弹出的窗口里面,将“数值数据”设置为“1”即可(图2)。接着在注册表里面展开到:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender,在右侧窗口中新建一个名为“DisableAntiSpyware”的DWORD(32位)值,并将“数值数据”设置为 1 就可以了。
小提示:如果用户想要恢复使用“Windows安全中心”,只需要将刚刚创建的注册表选项删除即可,或者将“数值数据”选项设置为0也可以。
用杀毒软件防范勒索病毒
如果要说这两年对用户系统破坏最大的病毒,那么勒索病毒肯定是排在最前列的,如何防范勒索病毒就成为了一个难题,常见的杀毒软件还是主要利用病毒的特征码来进行防范,这样对于未知病毒的防范就非常吃力。而在Windows Defender里就专门针对勒索病毒开发了相应的模块,用户只需要激活它就可以进行很好的防范了。
首先还是打开“Windows安全中心”的设置窗口,点击左侧的“病毒和威胁防护”按钮后,在右侧窗口里面最下方有一个“勒索软件防护”选项。点击这个选项以后,在弹出的窗口里面可以看到“受控制文件夹的访问”,现在将这个选项进行激活。接下来点击“受保护的文件夹”链接,在弹出的列表中就可以看到系统文档、图片、视频、音乐、桌面、收藏夹等文件夹都已经成为保护的对象。当然用户还可以点击“添加受保护的文件夹”按钮,将其他经常存放文档的文件夹添加到受保护的列表中即可。
这样一旦软件程序试图访问用户添加的文件夹目录,就会首先对软件程序的安全性进行判断,一旦发现可疑或未知的软件程序就会立刻阻止它的访问操作。
经过测试后发现,通常微软自己的软件程序都可以正常地进行访问,但是对于第三方的软件程序就会有比较大的麻烦。比如我们知道QQ或者微信的客户端软件会将聊天记录保存在系统的“文档”目录里面,但是当用户运行QQ或者微信的时候就会发现这些程序被阻止了。如果要想让这些程序正常地进行访问操作的话,首先点击“通过‘受控制文件夹的访问’允许应用”链接,在新的设置窗口里面再点击“添加允许的应用”链接,在弹出的对话框里面选择允许运行的软件程序文件,以后當这些软件程序在访问这些文件夹目录的时候就不会被阻止了(图3)。
堵住处理器的安全漏洞
现在除了软件程序拥有各种各样的安全漏洞以外,各种各样的硬件漏洞已经不断出现,比如之前出现过的处理器的Spectre(幽灵)和Meltdown(熔断)安全漏洞。由于这些安全漏洞都是内核级别的,因此它的操作权限要高于常见的杀毒软件。为了减轻这样的攻击对 Win10 系统带来的危害,微软在“Windows安全中心”里面推出了一项安全功能,允许用户启用“内核隔离”和“内存完整性”来防止此类破坏攻击。
不过要想使用这些功能的话,需要固件和CPU支持虚拟化才行。首先下载运行“LeoMoon CPU-V”这款工具,它会对当前电脑中的处理器进行检测,看看是否支持虚拟化的功能(图4)。如果软件下方出现了两个红叉,说明你的处理器不支持虚拟化操作,因为如果支持的话会在工具界面的左下角打上对钩。如果右下角的启用状态是叉的话,用户只需要在 BIOS 里面进行激活后,重新启动操作系统进行进一步的配置即可。
接下来打开“Windows安全中心”的设置窗口,点击左侧的“设备安全性”按钮后,在右侧窗口里面可以看到“内核隔离”、“安全处理器”和“安全启动”等信息。现在点击“内核隔离”下面的“内核隔离详细信息”链接,就可以看到该功能主要是“防止攻击将恶意代码插入到高安全性进程中”。将这个选项进行激活以后,就可以防止勒索软件等恶意病毒利用内存漏洞入侵系统进程。接下来再按照相同的步骤将其他的选项进行激活,然后根据提示重新启动操作系统,就可以利用虚拟环境进行防护操作了。
小提示:在设置窗口里面可能不会有“安全处理器”和“安全启动”选项,这些选项的显示主要是取决于电脑硬件的情况。
彻底关闭系统自带的杀毒软件
虽然Win10系统现在自带了杀毒软件,但是就像浏览器一样,很多用户都会选择使用第三方开发的软件。在早期的 Win10 版本里面,系统会自动检测用户是否安装有第三方的杀毒软件,如果安装有的话就会自动关闭自带的杀毒软件,从而避免两款杀毒软件在系统里面同时运行。
但是自从 Win10 RS5 Build 17672 这个版本发布以来,原来的 Windows Defender 升级为 “Windows安全中心”。这样在安装第三方杀毒软件以后,它必须作为一个受保护的进程注册运行,否则将不会出现在安全中心的UI界面中。换句话说,系统里面就会同时存在两款不同的杀毒软件,这样必然会影响到系统运行的速度。那么如何才能将系统自带的杀毒软件彻底地关闭呢?用户首先双击系统托盘中的“Windows安全中心”图标,在弹出的设置窗口里面,点击左侧的“病毒和威胁防护”按钮,接下来在右侧窗口里找到“病毒和威胁防护设置”选项,点击下面的按钮后就可以看到“实时保护”的选项,现在将这个选项关闭(图1)。
接下来在“运行”框输入“regedit”命令打开注册表,展开到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
Feature。接着在注册表的右侧窗口中,点击鼠标右键并选择菜单中“新建”子菜单中的“DWORD(32位)值”命令,然后将刚刚新建的字符串名称重命名修改为“DisableAvCheck”,接着双击该选项名称并在弹出的窗口里面,将“数值数据”设置为“1”即可(图2)。接着在注册表里面展开到:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender,在右侧窗口中新建一个名为“DisableAntiSpyware”的DWORD(32位)值,并将“数值数据”设置为 1 就可以了。
小提示:如果用户想要恢复使用“Windows安全中心”,只需要将刚刚创建的注册表选项删除即可,或者将“数值数据”选项设置为0也可以。
用杀毒软件防范勒索病毒
如果要说这两年对用户系统破坏最大的病毒,那么勒索病毒肯定是排在最前列的,如何防范勒索病毒就成为了一个难题,常见的杀毒软件还是主要利用病毒的特征码来进行防范,这样对于未知病毒的防范就非常吃力。而在Windows Defender里就专门针对勒索病毒开发了相应的模块,用户只需要激活它就可以进行很好的防范了。
首先还是打开“Windows安全中心”的设置窗口,点击左侧的“病毒和威胁防护”按钮后,在右侧窗口里面最下方有一个“勒索软件防护”选项。点击这个选项以后,在弹出的窗口里面可以看到“受控制文件夹的访问”,现在将这个选项进行激活。接下来点击“受保护的文件夹”链接,在弹出的列表中就可以看到系统文档、图片、视频、音乐、桌面、收藏夹等文件夹都已经成为保护的对象。当然用户还可以点击“添加受保护的文件夹”按钮,将其他经常存放文档的文件夹添加到受保护的列表中即可。
这样一旦软件程序试图访问用户添加的文件夹目录,就会首先对软件程序的安全性进行判断,一旦发现可疑或未知的软件程序就会立刻阻止它的访问操作。
经过测试后发现,通常微软自己的软件程序都可以正常地进行访问,但是对于第三方的软件程序就会有比较大的麻烦。比如我们知道QQ或者微信的客户端软件会将聊天记录保存在系统的“文档”目录里面,但是当用户运行QQ或者微信的时候就会发现这些程序被阻止了。如果要想让这些程序正常地进行访问操作的话,首先点击“通过‘受控制文件夹的访问’允许应用”链接,在新的设置窗口里面再点击“添加允许的应用”链接,在弹出的对话框里面选择允许运行的软件程序文件,以后當这些软件程序在访问这些文件夹目录的时候就不会被阻止了(图3)。
堵住处理器的安全漏洞
现在除了软件程序拥有各种各样的安全漏洞以外,各种各样的硬件漏洞已经不断出现,比如之前出现过的处理器的Spectre(幽灵)和Meltdown(熔断)安全漏洞。由于这些安全漏洞都是内核级别的,因此它的操作权限要高于常见的杀毒软件。为了减轻这样的攻击对 Win10 系统带来的危害,微软在“Windows安全中心”里面推出了一项安全功能,允许用户启用“内核隔离”和“内存完整性”来防止此类破坏攻击。
不过要想使用这些功能的话,需要固件和CPU支持虚拟化才行。首先下载运行“LeoMoon CPU-V”这款工具,它会对当前电脑中的处理器进行检测,看看是否支持虚拟化的功能(图4)。如果软件下方出现了两个红叉,说明你的处理器不支持虚拟化操作,因为如果支持的话会在工具界面的左下角打上对钩。如果右下角的启用状态是叉的话,用户只需要在 BIOS 里面进行激活后,重新启动操作系统进行进一步的配置即可。
接下来打开“Windows安全中心”的设置窗口,点击左侧的“设备安全性”按钮后,在右侧窗口里面可以看到“内核隔离”、“安全处理器”和“安全启动”等信息。现在点击“内核隔离”下面的“内核隔离详细信息”链接,就可以看到该功能主要是“防止攻击将恶意代码插入到高安全性进程中”。将这个选项进行激活以后,就可以防止勒索软件等恶意病毒利用内存漏洞入侵系统进程。接下来再按照相同的步骤将其他的选项进行激活,然后根据提示重新启动操作系统,就可以利用虚拟环境进行防护操作了。
小提示:在设置窗口里面可能不会有“安全处理器”和“安全启动”选项,这些选项的显示主要是取决于电脑硬件的情况。