微软的防病毒产品“微软防御高级威胁保护”(ATP)中增加了防篡改保护,以防止在受感染的PC上禁用防病毒的常见恶意软件策略。
在Windows安全应用程序中,可以通过一个简单称为安培保护的新开关来启用新功能。
该功能可防止恶意软件更改核心设置,如实时保护,微软表示实时保护“很少(如果曾经)被禁用”。
有许多恶意软件试图通过中和计算机的安全保护来避免被发现。比如双代理恶意软件利用Windows开发者的功能关闭Avast、AVG、Avira、Bitdefender、TrendMicro、Comodo、ESET、F-Secure、卡巴斯基、恶意软件字节、迈克菲、熊猫、诺顿。
最近发现一个Linux加密程序禁用了基于Linux的反恶意软件产品,而新发现的macOS木马禁用了苹果内置的网守安全功能。
防御ATP篡改保护还可以防止恶意软件禁用微软基于云的恶意软件检测,防止有助于防止零日恶意软件的服务,以及检测来自互联网的不可靠文件。设置启用后,恶意软件将无法删除安全智能更新。
尽管微软将ATP作为企业产品进行辩护,但仍将为Windows home用户提供防篡改保护,默认情况下将启用该功能。
同时,企业客户需要选择防篡改,管理员可以通过Intune管理控制台管理该功能。为了防止恶意软件和恶意内部人员禁用设置,企业中的最终用户将无法更改设置。
事实上,微软在12月通过Windows Insider预览程序引入了防篡改功能。在引入一个函数后不久,这个函数允许反病毒系统在沙盒中运行,以防止攻击者利用Defender中的漏洞破坏操作系统。
微软表示,用户可以通过安装2019年3月或更高版本发布的Windows Insider内部版本来测试新的防篡改功能。
微软,最初被称为Windows DefenderATP,在上周宣布支持macOS电脑后,决定将其更名为微软DefenderATP。
微软表示,允许篡改保护可以防止恶意应用程序更改重要的Windows保护。