微软为什么禁用Microsoft Defender白名单功能？恶意软件正在滥用

早前蓝点网提到微软发布新策略禁止非管理员用户使用 Microsoft Defender 防病毒软件的排除文件或文件夹等。

排除功能实际就是微软防病毒软件的白名单功能，当文件或特定路径添加到排除列表后微软就不会再检测和扫描。

同时如果该文件夹里包含恶意文件也会被放行而不是被自动查杀，白名单功能是所有安全软件都提供的基础功能。

但基于安全考虑现在非管理员用户不再支持使用此功能，若用户尝试排除文件或是文件夹时会直接提示权限不足。

微软在发布新安全策略时并没有详细说明为何这么做，但最近安全公司的报道让我们知道微软也只能更换新策略。

名为KRAKEN的恶意软件正在滥用排除功能，该恶意软件感染设备用来组建僵尸网络，为其他黑客提供攻击服务。

但此恶意软件还是个小偷，当感染后恶意软件会搜刮用户存储的账号密码，甚至是监视用户使用的加密货币钱包。

有趣的是KRAKEN并没有像其他恶意软件那样通过复杂的工程躲避安全软件查杀，该恶意软件的做法其实挺有趣。

Microsoft Defender支持通过 PowerShell 命令操作排除功能 , KRAKEN使用排除将自己所在目录纳入排除范围。

于是这款恶意软件就这么非常轻松地绕过微软的查杀，接下来就可以创建注册表让自己开机启动并嗅探机密内容。

以蓝点网经验来看多数家庭用户使用的都是管理员账号，因此微软发布的新安全策略不会影响恶意软件继续操作。

只有在企业环境里有的企业安全意识比较强只给员工分配普通账户，因此新策略可以保证企业用户不会遭到感染。

这种滥用白名单的操作未来肯定还会有其他软件效仿，所以对家庭用户来说微软发布策略也没用还是要自己注意。

当然安全策略方面还是老生常谈，无非是下载软件通过官网下载，毕竟多数恶意软件都是通过非官方渠道传播的。

最近还有个值得关注的是假冒的 KMSPico 激活工具，激活工具是恶意软件的重灾区，用户下载使用应特别注意。