Windows10中新的“阻止可疑行為”功能是什麼？

Windows10的2018年10月更新包含了一個新的“阻止可疑行為”安全功能。預設情況下，此保護處於關閉狀態，但您可以啟用它以保護您的電腦免受各種威脅。...

Windows10的2018年10月更新包含了一個新的“阻止可疑行為”安全功能。預設情況下，此保護處於關閉狀態，但您可以啟用它以保護您的電腦免受各種威脅。

“阻止可疑行為”的作用是什麼？

這個功能的名字很模糊。不過，微軟的文件澄清了“阻止可疑行為”只是“Windows Defender漏洞防護攻擊表面還原技術”的友好名稱。此安全功能在秋季Creators更新中引入，但僅在Windows 10 Enterprise中可用。在2018年10月的更新中，現在每個人都可以透過Windows安全中的一個選項使用它。

啟用此功能後，Windows 10將啟用各種安全規則。這些規則禁用通常只由惡意軟體使用的功能，幫助保護您的電腦免受攻擊。

以下是一些攻擊面減少規則：

阻止來自電子郵件客戶端和webmail的可執行內容
阻止Office應用程式建立子程序
阻止Office應用程式建立可執行內容
阻止Office應用程式將程式碼注入其他程序
阻止JavaScript或VBScript啟動下載的可執行內容
阻止執行可能混淆的指令碼
阻止來自Office巨集的Win32 API呼叫
阻止從Windows本地安全授權子系統竊取憑據(lsass.exe檔案)
阻止源自PSExec和WMI命令的程序建立
阻止從USB執行的不受信任和未簽名的程序
阻止Office communication應用程式建立子程序

這些是惡意應用程式可能使用的可疑操作。例如，這些規則阻止透過電子郵件到達的可執行檔案，阻止Office應用程式執行特定操作，並阻止危險的巨集行為。啟用這些規則後，Windows可以保護憑據不被竊取，阻止USB驅動器上可疑的可執行檔案執行，並拒絕執行偽裝成防病毒軟體的指令碼。

你可以在微軟的支援站點上找到一個完整的攻擊面減少規則列表。組織可以透過組策略自定義要使用的規則，但是普通的消費者PC會得到一套一刀切的規則。在Windows安全中啟用此選項時，究竟使用了哪些規則尚不清楚。

相關報道：Windows 10 2018年10月更新的新功能

這是windows defender漏洞防護的一部分

攻擊面減少是Windows Defender漏洞保護的一部分，它還包括漏洞保護、網路保護和受控資料夾訪問。

需要澄清的是，“阻止可疑行為”與漏洞攻擊保護功能不同，漏洞攻擊保護功能可以保護您的電腦免受各種常見漏洞攻擊技術的攻擊。例如，漏洞利用保護可防止零日攻擊使用的常見記憶體漏洞利用技術，並終止使用這些技術的任何程序。漏洞保護與Microsoft的增強緩解體驗工具包（EMET）軟體類似。攻擊面減少會在更高級別上禁用潛在的危險特性。

預設情況下啟用漏洞攻擊保護，您可以在Windows安全應用程式的其他位置對其進行調整。預設情況下，還未啟用攻擊表面減少或“阻止可疑行為”。

相關內容：Windows Defender的新漏洞保護如何工作（以及如何配置）