【转载】MMPC权威发布的Windows Defender For Windows 10版本技术报告

驭龙

关于新版本的Windows Defender 拥有的新功能，一直没有官方的说明和介绍，不过现在好了，Microsoft Malware Protection Center发布了Windows Defender For Windows 10版本的详细介绍，以下内容是MMPC翻译系统翻译内容。
大家也可以去看原文：
https://www.microsoft.com/securi ... ts_august_2015.aspx

Windows Defender 在 Windows 10: 系统集成

Windows 10 带来大量的进展和功能在以前的 Windows 操作系统。

本报告详细介绍了新技术和 Windows Defender 在 Windows 10 中包含的功能。

Windows 10 集成

在 Windows 10 我们已经改变了 Windows Defender 如何与操作系统，集成和用户可以如何与它交互。Windows Defender 现在纳入标准设置系统中，并帮助保护从其第一引导设备了。

现在，最终用户将总是看到 Windows Defender 的名字，无论是企业级托管的设备 (例如，通过系统中心配置管理器或者 Intune) 或消费设备。

然而，Windows Defender Windows 10 中从其他受支持的版本的 Windows 的管理经验没有变化。

更好的保护

恶意软件变得更加激烈和破坏性，需要在任何时候都保护也就变得更为重要。

为了帮助保护用户，Windows Defender Windows 10 中将打开恶意软件保护如果其他保护未安装或已过期通过更强的逻辑和决策。

例如，Windows Defender 默认启用的但如果用户安装了不同的反恶意软件产品提供实时的保护，以静默方式禁用 Windows Defender。如果已安装的产品被认定为非活动状态或过期，启用 Windows Defender 和有关更改通知用户。

在所有情况下，用户了解所做的更改并给出了信息，以帮助他们选择他们希望如何管理他们的保护 — — 通过更新其现有的反恶意软件产品，或与 Windows Defender 继续。

管理员可以配置这一进程如何在托管的情况下，也可以控制是指在通过组策略与系统中心端点保护 (SCEP) 或微软 Intune。

操作系统、 企业级管理和 BYOD 集成

Windows 10 介绍了运行 Windows 10 设备移动设备管理 (MDM) 接口。这个管理基础设施的介绍使它可能为它管理员使用 MDM 能力的产品，如微软 Intune 来管理 Windows Defender Windows 10 设备，包括不是加入域的 BYODs 上。

许多的设置和操作都是类似 MDM 和加入域的计算机之间。

有关如何 Windows 10 包括 MDM 和多用户功能的详细信息，请参阅"云"博客集成 Windows 10 身份创新与 EMS 和 SCCM.

强化的改进

Windows Defender Windows 10 中有所防篡改、 注册表和文件夹修改篡改、 实时保护服务强化                。

随着恶意软件的发展，它经常进入一个阶段，作者尝试重写基本保护进程和服务。那里有很多方法恶意软件使用，包括篡改保护服务的注册表项、 文件夹结构或甚至直接修改的服务。

Windows Defender 在 Windows 10 强化本身反对这些企图与分离、 识别和工作，以防止这种篡改的功能。

受保护的服务

在 Windows 10，Windows Defender 运行受保护的服务，其中隔离它不会遭篡改标准-用户-特权以及大多数管理员特权恶意软件攻击。

反恶意软件注册表和文件夹强化

Windows 10 已阻塞机制防止更改从任何管理员和用户模式进程的可扩展注册表和 Windows Defender 也防止更改到选定的文件夹。例如，Windows Defender 防止更改其定义更新文件夹和 Windows Defender 用于调试某些注册表项。

定义更新将获准作出更改的注册表项和文件夹受保护的进程的列表进行更新。

快速恢复

在某些情况下，篡改只能解决通过恢复。

例如，在 Windows 10 Windows Defender 使用其早期推出的反恶意软件(ELAM) 驱动程序来删除任何恶意更改在下次重新启动。这就限制了内核模式的恶意软件从持久更改 Windows Defender 微筛选器驱动程序。

此外，如恶意软件也可能篡改 Windows 安全设置，Windows Defender 将还原篡改的组件，当它发现恶意软件。尤其是，它将用户帐户控制 (UAC) 和 Windows 更新设置还原到它们的默认值时它修正已知篡改这些功能的恶意软件。这有助于确保关键更新 (和反恶意软件签名) 传递即使恶意软件试图阻止或防止他们。

改进的恶意软件检测

Windows Defender 的上下文线索

Windows Defender Windows 10 中有所补救、 报告和恶意软件检测能力。上下文可以分为三个领域:
•本地上下文
•安全地持久化的上下文
•共享的全局上下文

本地上下文

入口点上下文

Windows defender 在系统中的恶意软件渗透的特定方法。这意味着它可以针对这些高风险的"切入点"，在高级扫描和更可靠地防止感染系统的特定威胁。

Windows Defender 使用标记 (motw 添加)在确定是否该文件最初从外部位置和水平扫描，是 web 的必需的。

除了 motw 添加 Windows Defender 跟踪每个文件的入口点上下文。这种情况下可在文件中使用，即使该文件是使用或在以后的某个时间执行。

高程变化的语境

Windows Defender 有一个新的同步扫描，钩在用户帐户控制 (UAC) 高程点执行深入扫描的进程或文件要求额外的特权。请参阅新技术选项卡上的反恶意软件扫描接口 (AMSI) 部分有关更多详细信息。

另一个指标的高程点上下文和安全事件追踪为 Windows 通道还提供了这种类型的上下文时进程完整性级别也被跟踪。请参阅新技术选项卡上的安全事件中部分有关更多详细信息。

安全地持久化的上下文


Windows Defender 跟踪，并将这些上下文中存储在安全的方式在其 Persisted 存储区，然后，它使用其行为 (或"启发式") 的监测发动机。

Persisted 商店允许 Windows Defender 保持文件和扫描引擎可以在稍后的时间使用的进程的状态。这允许工作流如下所示，与上面所述:
•电子邮件到达通过 Outlook 或其他邮件客户端，并且用户将附件保存
•几天后，用户决定运行附件
•当运行时，该文件需要管理员权限 (通过 UAC 提示)
•Windows Defender 是能够保持这种状态和确定的级别的扫描，需要去做，因为它知道该文件来自 Outlook 由于其 Persisted 存储区中的记录

共享的全局上下文

在 Windows 10，Windows Defender 利用的技术，如UAC 和 AMSI 扫描，云保护和离线清洗外主要操作系统外壳构成的共享的一部分，"全局"级别的保护。

新技术

智能 UAC

在 Windows 10 微软实施一新的技术，允许 Windows Defender 密切合作与用户帐户控制 (UAC) 请求。

当触发 UAC 系统时，它要求扫描从 Windows Defender 之前提示提升。

当 Windows Defender 扫描的文件或过程它确定它是否恶意或不。如果它是恶意的用户会看到一个消息，解释 Windows Defender 阻止的文件或进程从执行;如果它不是恶意，然后 UAC 会运行并显示通常提升请求提示。

安全事件

Windows 10 介绍了新安全事件追踪 for Windows (安全 ETW 通道)。正常 ETW 事件可以由任何用户模式进程，但这样只是一个安全的应用程序，是设计了新的安全通道作为保护过程(如 Windows Defender) 运行) 可以使用这些有关安全或保护影响的事件。

当恶意软件不能听这些事件，新的安全 ETW 通道为安全应用程序提供一个额外的优势，在避免篡改和觉察到的可能的恶意软件。

反恶意软件扫描接口 (AMSI)

反恶意软件扫描接口(AMSI) 是一种通用的公共接口标准，允许应用程序和服务集成与设备上存在的任何反恶意软件产品。

AMSI 允许安全应用程序或服务来扫描内存中脚本内容 (如 PowerShell，Windows 脚本宿主，JavaScript 和 JScript) 和模糊处理动态内容的恶意活动。扫描结果可以是，然后返回给调用应用程序或服务。

接口支持 URL/IP 信誉检查，以及其他技术文件和内存或流扫描、 内容源允许调用结构。它还使代码是经常动态生成或在运行时检索的反恶意软件产品的可视性。

AMSI 还支持会议的概念，以便安全产品，如 Windows Defender 可以将不同的扫描请求相关联。例如，恶意负载的不同碎片可以达到更明智的决定，这将是更难达到通过看这些孤立的片段相关联。

在 AMSI 上的详细信息，请参阅我们的博客Windows 10 来为应用程序开发人员提供新的恶意软件防御系统.

高级的保护

云保护

Windows Defender 开始发布的 Windows 8 的云保护能力建设。在 Windows 8 中，微软推出 Windows Defender云保护 (作为微软主动保护服务) 第一次，一个解决方案以更好地保护和反应迅速的恶意软件景观。

我们与 Windows Defender 云保护的目标是在恶意软件攻击的第一关键时间阻止恶意软件"这看到的第一次"。

使用签名驱动的方法，该装置可以查询 Windows Defender云 (云保护是一项可选功能，并可以进行切换打开或关闭 Windows 10 中去 (设置 > 更新 & 安全 > Windows Defender > 基于云计算的保护)，看看是否它有威胁的判定上可疑的资源。如果它不存在，报告，并可选配样品可以也发送，从而允许微软研究人员能够分析的样品，以确定应阻止它。

Windows Defender 需要几步才能维护您的隐私，发送报告时，您可以通过去查看隐私声明 (设置 > 更新 & 安全 > Windows Defender > 基于云计算的保护).

在大多数情况下，资源的执行将举行而进行的评价。平均来看，云查询需要小于 0.5 秒任何地方在世界上。也可以在较低风险的情况下以异步方式完成这些检查。

反恶意软件在 Windows 恢复环境清洁

有些威胁是如此普遍和破坏正常水平 Windows GUI 基于壳的补救可能会遇到问题。

在 Windows 10，Windows 恢复环境功能作为一个单独的操作系统，从主要的壳，并支持称为Windows Defender脱机集成、 更新脱机清洁工具。

事件中离线清洗是必需的用户同意后，机器自动重新启动进入 Windows 恢复环境、 执行脱机工具、 清洁的先进的恶意软件和重新启动机器回到 Windows 10。还有没有其他用户不开始重新启动所需的努力。

zandalong

其实现在已经不怎么关心，闲来无事做个沙发歇息一下。

玉米包粟

我支持MA，我个人还是喜欢scep。

---

我使用傲游云浏览器

驭龙

zandalong 发表于 2015-9-2 17:43
其实现在已经不怎么关心，闲来无事做个沙发歇息一下。

说实话，我也不怎么关心WD，很不给力，也就是基本保护吧，只是比裸奔好一点而已

zandalong

驭龙 发表于 2015-9-2 18:55
说实话，我也不怎么关心WD，很不给力，也就是基本保护吧，只是比裸奔好一点而已

给不给力无所谓，反正我这使用习惯也见不着什么恶意软件，况且用surface平板，还是喜欢用自家的安全软件，强迫症，没办法。

驭龙

zandalong 发表于 2015-9-2 18:57
给不给力无所谓，反正我这使用习惯也见不着什么恶意软件，况且用surface平板，还是喜欢用自家的安全软件 ...

是啊，最厉害的还是人脑，我们是玩杀软的，用杀软也是要安心的就好。
其实我今天也在考虑要不要用WD，因为Avira最新版的Web Protection好像又有一点卡网了，不过Avira用着还是不错的

sunnyjianna

驭龙 发表于 2015-9-2 19:02
是啊，最厉害的还是人脑，我们是玩杀软的，用杀软也是要安心的就好。
其实我今天也在考虑要不要用WD，因 ...

小伞用免费版就好啦。如果能够把更新频率弄高点就更好了。

驭龙

sunnyjianna 发表于 2015-9-2 20:09
小伞用免费版就好啦。如果能够把更新频率弄高点就更好了。

免费版毕竟没有网页保护，缺少网页保护就不好了，可网页保护卡网，这让我很纠结

sunnyjianna

驭龙 发表于 2015-9-2 20:19
免费版毕竟没有网页保护，缺少网页保护就不好了，可网页保护卡网，这让我很纠结

能拦就能杀啊

驭龙

sunnyjianna 发表于 2015-9-2 20:20
能拦就能杀啊

让病毒到本地，还是有风险的，例如ZA，到本地运行的话，你懂的