微软今天宣布,Windows 10篡改保护安全功能现已正式向企业和消费者正式可用。与此公告一起,Microsoft将默认在所有Windows 10设备上启用此安全功能。
篡改保护是Windows 10版本1903中引入的安全功能,也称为2019年5月更新。启用后,防篡改功能可防止Windows Security和Windows Defender设置被程序,Windows命令行工具,注册表更改或组策略更改。
相反,用户必须直接通过Windows 10用户界面或通过Microsoft企业管理软件(例如Intune)来修改安全设置。
如果Windows 10设备上当前未启用防篡改功能,则Microsoft告诉BleepingComputer他们将向所有Windows 10用户推出此更改。但是,可能需要几天的时间,每个人才能自动启用它。
如果您不想等待,可以按照以下说明立即启用它。
随着Windows Defender成为可靠的防病毒解决方案,并且Windows 10进一步增强了安全性,恶意软件越来越多地努力绕过它。
通过尝试通过PowerShell命令,组策略或注册表修改来关闭或减少Windows Defender的功能,可以完成此操作。
例如,在过去的4个月中,我们看到TrickBot,GootKit和 Nodersok 木马齐心协力绕过Windows Defender,以便驻留在受感染的计算机上或绕过其保护。
但是,启用防篡改功能后,这些更改Windows Defender或Windows安全设置的尝试将被忽略或仅重置。
由于在删除第三方防病毒软件后Windows Defender会自动打开,因此启用防篡改功能更为重要,这样Windows Defender才能充分保护您。
对于消费者,防篡改可以在Windows安全性的“病毒和威胁防护”设置下进行管理。
要访问此设置,您需要打开Windows 10设置,依次单击Windows安全,病毒和威胁防护,然后单击 病毒和威胁防护设置下的管理设置。
向下滚动,您将看到一个名为“ Tamper Protection”的选项,应启用该选项,如下所示。
企业工作站可以使用与使用者相同的方法来启用防篡改功能,而管理员也可以使用Microsoft Intune管理软件进行管理。
使用Intune,组织可以按设备类型甚至用户组为整个组织启用篡改保护,如下所示。
通过企业软件启用后,工作站将显示此设置正在“由管理员管理”。
为了为防篡改管理提供额外的安全性,每当Intune推出防篡改设置更改时,请求都会进行数字签名。
工作站收到此请求后,他们将确认签名是合法的,否则,请忽略更改。您可以在下面看到Intune如何推送这些已签名请求的图示。
当攻击者(无论是恶意软件还是本地用户)尝试篡改Windows安全性或Windows Defender设置时,警报将被推送到Microsoft Defender安全中心。然后,管理员可以深入研究这些警报,以查看目标机器是什么并进行修复。
在恶意软件主动将篡改防护作为目标的情况下,此功能不仅很重要,而且还需要启用以向Windows 10用户提供全面保护。
所有用户,无论是消费者还是企业组织,都应确保启用防篡改功能。