微软在其防病毒产品微软防御高级威胁保护(ATP)中增加了篡改保护,以防止在受感染的PC上禁用防病毒的常见恶意软件策略。
新功能可以通过Windows安全应用程序中的一个简单称为“安培保护”的新切换来启用。
该功能阻止恶意软件改变实时保护等核心设置,微软称这一功能“很少(如果曾经)被禁用”。
有许多恶意软件试图通过中和计算机的安全保护来逃避检测,例如DoubleAgent恶意软件利用Windows开发人员的功能关闭Avast、AVG、Avira、Bitdefender、TrendMicro、Comodo、ESET、F-Secure、Kaspersky、Malware Bytes、McAfee、Panda和Norton。
最近,一个Linux加密程序被发现禁用基于Linux的反恶意软件产品,而一个新发现的macOS木马则禁用了苹果内置的Gatekeeper安全功能。
捍卫ATP篡改保护还阻止恶意软件禁用微软基于云的恶意软件检测和防止帮助阻止零天恶意软件的服务,以及从互联网上检测不可靠文件的功能。一旦设置被启用,恶意软件将无法删除安全情报更新。
虽然微软捍卫ATP是一个企业产品,篡改保护将提供给Windows家庭用户,它将在默认情况下启用。
同时,企业客户需要选择篡改保护,管理员可以通过Intune管理控制台管理该功能。为了防止恶意软件和恶意内部人员禁用设置,企业中的最终用户将无法更改设置。
微软实际上在12月通过Windows Insider预览程序引入了篡改保护,在推出一项功能后不久,该功能允许防病毒系统在沙箱内运行,以防止攻击者使用Defender中的漏洞破坏操作系统。
微软表示,用户可以通过安装2019年3月或以后发布的Windows Insider构建来测试新的防篡改功能。
最初被称为Windows Defender ATP的微软上周在宣布支持macOS电脑后,决定将其更名为微软DefenderATP。
微软说,允许篡改保护阻止恶意应用程序改变重要的Windows保护。