Windows 11中的病毒和威胁防护

Windows 11中的病毒和威胁防护

Windows 11内置了全面的病毒和威胁防护系统，通过Microsoft Defender SmartScreen、网络保护、篡改防护、Microsoft Defender防病毒等多重安全功能，为用户提供全方位的安全保护。本文将详细介绍这些安全功能的工作原理和使用方法。

当今的威胁形势比以往任何时候都更加复杂。这一新世界需要一种新的威胁防护、检测和响应方法。Microsoft Defender防病毒以及内置于Windows 11中的许多其他功能都位于第一线，可保护客户免受当前和新出现的威胁。

Microsoft Defender SmartScreen

Microsoft Defender SmartScreen可防止网络钓鱼、恶意软件的网站和应用程序以及潜在恶意文件的下载。

SmartScreen通过以下方法确定某站点是否为潜在恶意网站：

• 分析访问的网页以查找可疑行为的迹象。如果确定页面可疑，则会显示警告页面，建议谨慎
• 检查已访问站点，以获取所报告的钓鱼站点和恶意软件站点的动态列表。如果找到匹配项，SmartScreen会警告该网站可能是恶意的

SmartScreen还通过以下方式确定下载的应用或应用安装程序是否具有潜在的恶意：

• 检查已下载文件，以获取所报告的恶意软件站点和已知不安全的程序的列表。如果找到匹配项，SmartScreen会警告该文件可能是恶意文件
• 根据已知文件列表检查下载的文件。如果文件属于危险类型且不为人知，SmartScreen将显示警告警报

借助Windows 11中增强的钓鱼防护功能，SmartScreen还会在用户将Microsoft凭据输入到潜在风险位置时发出警报，无论使用哪种应用程序或浏览器。

网络保护

虽然Microsoft Defender Smartscreen可与Microsoft Edge配合使用，但对于第三方浏览器和进程，Windows 11具有网络保护功能，可防范钓鱼欺诈、恶意软件网站和下载潜在恶意文件。

将网络保护与Microsoft Defender for Endpoint结合使用时，你将能够使用入侵指示器来阻止特定URL和/或IP地址。还与Microsoft Defender for Cloud Apps集成，以阻止组织中未采取行动的Web应用。使用Microsoft Defender for Endpoint的Web内容筛选基于类别允许或阻止访问网站。

篡改防护

攻击（如勒索软件）试图禁用安全功能，例如防病毒保护。恶意参与者喜欢禁用安全功能，以便更轻松地访问用户的数据、安装恶意软件或以其他方式利用用户的数据、标识和设备，而不必担心被阻止。防篡改有助于防止此类活动。

使用篡改防护，可阻止恶意软件采取如下操作：

• 禁用实时保护
• 关闭行为监视
• 禁用防病毒保护，例如扫描所有下载的文件和附件(IOfficeAntivirus(IOAV))
• 禁用云提供的保护
• 删除安全智能更新
• 禁用针对检测到的威胁的自动操作
• 禁用存档的文件
• 更改排除项
• 禁用Windows安全中心应用中的通知

Microsoft Defender防病毒

Microsoft Defender防病毒是所有版本的Windows 10和Windows 11中包含的下一代保护解决方案。从打开Windows的那一刻起，Microsoft Defender防病毒会持续监视恶意软件、病毒和安全威胁。除了实时保护外，还会自动下载更新，以帮助保护设备的安全并防止其受到威胁。如果安装了另一个防病毒应用并处于打开状态，Microsoft Defender防病毒会自动关闭。如果卸载其他应用，Microsoft Defender防病毒将重新打开。

Microsoft Defender防病毒包括实时保护、基于行为保护和启发式防病毒保护。这种始终启用的内容扫描、文件和进程行为监视以及其他启发式方法的组合有效地防止了安全威胁。Microsoft Defender防病毒会持续扫描恶意软件和威胁，还会检测和阻止可能不需要的应用程序(PUA)，应用程序被视为对设备产生负面影响，但不被视为恶意软件。

Microsoft Defender防病毒始终启用保护与云提供的保护集成，这有助于确保即时检测和阻止新出现的威胁。这种本地和云交付技术（包括高级内存扫描、行为监视和机器学习）的组合，在家庭和工作中提供屡获殊荣的保护。

攻击面减少规则

攻击面减少规则有助于防止经常被滥用以破坏设备和网络的操作和应用程序或脚本。通过控制可执行文件和/或脚本的运行时间和方式，从而减少攻击面，可以减少组织的整体漏洞。管理员可以配置特定的攻击面减少规则来帮助阻止某些行为，例如：

• 启动尝试下载或运行文件的可执行文件和脚本
• 运行经过模糊处理的脚本或其他可疑脚本
• 执行应用通常不会在日常工作中启动的行为

例如，攻击者可能尝试从U盘运行未签名的脚本，或者让Office文档中的宏直接调用Win32 API。攻击面减少规则可以限制这些类型的风险行为，并改善设备的防御态势。为了全面保护，请遵循启用基于硬件的隔离的步骤

对于Microsoft Edge并减少跨应用程序、文件夹、设备、网络和防火墙的攻击面。

受控文件夹访问权限

可以通过管理对文件夹的应用访问权限来保护特定文件夹中的重要信息。只有受信任的应用可以访问受保护的文件夹，这些文件夹是在配置受控文件夹访问权限时指定。通常，常用文件夹（例如用于文档、图片和下载的文件夹）包含在受控文件夹列表中。

受控文件夹访问权限适用于受信任的应用列表。包含在受信任软件列表中的应用按预期工作。将阻止未包含在受信任列表中的应用对受保护文件夹内的文件进行任何更改。

受控文件夹访问权限有助于保护用户的宝贵数据免受恶意应用和勒索软件等威胁的影响。

Exploit Protection

Exploit Protection自动将多种攻击缓解技术应用于操作系统进程和应用。Exploit Protection最适合Microsoft Defender for Endpoint，它使组织可以在典型警报调查方案中详细报告Exploit Protection事件和块。可以在单个设备上启用Exploit Protection，然后使用策略设置将配置XML文件同时分发到多个设备。

当设备上有缓解时，操作中心将显示一条通知。你可以使用公司的详细信息和联系人信息自定义通知。还可以单独启用规则以自定义功能所监视的技术。

可以使用审核模式来评估Exploit Protection在启用后对组织的影响。并(SDP)进行安全部署。

Windows 11提供了Exploit Protection的配置选项。可以使用设备管理解决方案（如Microsoft Intune或组策略）阻止用户修改这些特定选项。