当前位置:首页-安全资讯科技资讯-正文

微软为什么禁用Microsoft Defender白名单功能?恶意软件正在滥用

早前蓝点网提到微软发布新策略禁止非管理员用户使用 Microsoft Defender 防病毒软件的排除文件或文件夹等

排除功能实际就是微软防病毒软件的白名单功能,当文件或特定路径添加到排除列表后微软就不会再检测和扫描。

同时如果该文件夹里包含恶意文件也会被放行而不是被自动查杀,白名单功能是所有安全软件都提供的基础功能。

但基于安全考虑现在非管理员用户不再支持使用此功能,若用户尝试排除文件或是文件夹时会直接提示权限不足。

企业用户估计要骂街 Microsoft Defender不再支持非管理员排除文件

恶意软件滥用排除功能:

微软在发布新安全策略时并没有详细说明为何这么做,但最近安全公司的报道让我们知道微软也只能更换新策略。

名为KRAKEN的恶意软件正在滥用排除功能,该恶意软件感染设备用来组建僵尸网络,为其他黑客提供攻击服务。

但此恶意软件还是个小偷,当感染后恶意软件会搜刮用户存储的账号密码,甚至是监视用户使用的加密货币钱包。

有趣的是KRAKEN并没有像其他恶意软件那样通过复杂的工程躲避安全软件查杀,该恶意软件的做法其实挺有趣。

Microsoft Defender支持通过 PowerShell 命令操作排除功能 , KRAKEN使用排除将自己所在目录纳入排除范围。

于是这款恶意软件就这么非常轻松地绕过微软的查杀,接下来就可以创建注册表让自己开机启动并嗅探机密内容。

对普通用户仍然存在威胁:

以蓝点网经验来看多数家庭用户使用的都是管理员账号,因此微软发布的新安全策略不会影响恶意软件继续操作。

只有在企业环境里有的企业安全意识比较强只给员工分配普通账户,因此新策略可以保证企业用户不会遭到感染。

这种滥用白名单的操作未来肯定还会有其他软件效仿,所以对家庭用户来说微软发布策略也没用还是要自己注意。

当然安全策略方面还是老生常谈,无非是下载软件通过官网下载,毕竟多数恶意软件都是通过非官方渠道传播的。

最近还有个值得关注的是假冒的 KMSPico 激活工具,激活工具是恶意软件的重灾区,用户下载使用应特别注意。

感谢您的阅读,本文为蓝点网原创内容,转载时请标注来源于蓝点网和本文链接

相关文章

换一批