时下开源流行时代，免费杀毒软件也是常态，而且自打杀毒软件免费以后好像常态的病毒似乎已经绝迹，更多的则是网络木马，勒索木马肆虐。对于普通用户来说，不再也没必要购买昂贵的防病毒软件，直接裸奔而通过Windows自带的Windows Defender（WD）就足矣。本文就介绍基于WD的个人电脑安全防护策略。

概述

Windows Defender简单高效友好，是Windows操作系统中内置的防病毒和威胁防护解决方案。它具有帐户、应用程序和浏览器控制、防火墙和网络保护功能，可以确保设备安全。 该软件的界面与您熟悉的标准杀毒软件界面略有不同，它没有太多的配置选项，但是提供了足以满足个人安全配置所需的必须选项。

WD不仅适合个人用户使用，也支持大公司将WD与 Sentinel(SIEM)和ASC结合使用作为企业级的防护系统。

许多防病毒程序的有效性由AV Compares或AV Test来检测哪个防病毒软件是“最好的”。以前WD评分不行，现在逐渐在提高和那些高昂商业杀毒软件相比已经不分伯仲。

本地组策略设置

本地组策略设置是让Defender变得更好和更强大关键。本地组策略编辑器仅在专业版/企业版中可用，但也可以将其添加到Windows的家庭版中。如果不想启用此编辑器，还可以使用PowerShell对其关闭。

可以通过以下PS脚本创建一个可执行文件（适用于 Windows 10 和 11）：

@echo off
nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"REM --> If error flag set, we do not have admin.if '%errorlevel%' NEQ '0' (
echo Requesting administrative privileges…goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs""%temp%\getadmin.vbs"exit /B
:gotAdminif exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
pushd "%CD%"
CD /D "%~dp0"
pushd "%~dp0"
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3.mum >List.txt dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3.mum >>List.txt
for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
pause

保存为gpedit-enable.bat。然后运行。重启电脑，然后ctrl+R运行 gpedit.msc. 编辑器打开后。

启用MAPS

Microsoft 高级保护服务 (MAPS) 通过云提供的保护和下一代技术增强标准实时保护。

以下步骤将允许入Microsoft高级保护服务 (MAPS)、配置首次看到时阻止、配置局部设置替换以便向Microsoft MAPS报告、需要进一步分析时发送文件事例、在Windows Defender中选择云保护级别并配置扩展云检查。

在本地组策略编辑器中导航到： 计算机配置> 管理模板> Windows 组件> Windows Defender防病毒> Maps。打开加入Microsoft MAPS选项输入并将其更改为Enabled. 在选项中，可以从下拉菜单 MAPS 级别中进行选择。基本或高级会员资格。

配置首次看到时阻止

然后打开"首次看到时阻止"进入并选择 Enabled. 配置局部设置替换以便向Microsoft MAPS报告、需要进一步分析时发送文件事例。根据喜好选择选项。建议选择“发送安全示例”。

接下来前往

计算机配置> 管理模板> Windows 组件> Windows Defender防病毒>

> MpEngine。

编辑选项“选择云保护级别”，启用它并将选项设置为高阻止级别。该选项将使 Windows Defender 防病毒软件在识别可疑文件时更加积极防护。

最后，在“配置扩展云检查”，启用它并将时间设置为50。典型的云检查超时为10秒。要启用扩展云检查功能，请以秒为单位指定延长时间，最多可再延长50秒。

所有这些配置完成后，重启电脑。

防勒索木马

这可以WD界面启用。只需搜索框键入windows安全中心，转到病毒和威胁防护并在选择该页面的底部选择勒索软件保护，然后点击“管理勒索软件保护”并选择启用“文件限制访问”。

PowerShell

为了配置Defender的一些功能选择，需要通过使用PowerShell命令。以管理员身份运行PowerShell并键入 Get-MpPreference检查当前的 Defender 配置。

签名更新

设置SignatureUpdateInterval为每1小时。

Set-MpPreference -SignatureUpdateInterval 1

此外，设置每次扫描开始之前强制更新新签名也很有必要：

Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

启用MAPS

如果使用本地组策略编辑器跳过了MAPS设置，也可以在PowerShell中看到相同的选项。

MAPSReporting, 0 - 禁用，2 -启用威胁和附加数据将发送到 MS（高级会员），1-仅基本数据（基本会员）。

使用设置此选项 Set-MpPreference. 这对于之后描述的所有其他选项都是相同的。

SubmitSamplesConsent, 0 - 始终提示，1 - 自动发送安全样本，2 - 从不发送，3 - 自动发送所有样本。

CloudBlockLevel，在文档中描述，在上面的部分中，建议选项 5 - 高阻塞级别。

CloudExtendedTimeout， 调成 50.

可能不需要的软件

这可以从GUI启用，也可以使用 PowerShell。

PUAProtection，指定潜在有害应用程序的检测级别。当可能不需要的软件被下载或试图在计算机上安装时，就会发出告警。

总结

如上所述， WD设置非常简单，每个人都可以按照本文说明基于WD构建一个个人的裸奔个人防护系统。当然为了安全还是要遵守基本的安全原则，那就是“不乱下载安装软件，不下载安装不明来源的软件，不下载盗版&破解（中文汉化）软件”。