微软通过Windows Defender application guard应用程序防护服务将浏览器选项卡放在虚拟沙箱执行防止病毒,应用程序防护功能可将浏览器加载的任意脚本放在独立的虚拟沙盒中执行,即便脚本有病毒也不能感染到宿主机,日前该公司也更新Microsoft Office 365 系列产品带来类似功能 可在虚拟化容器中运行文档附件规避潜在攻击。
上图是个冒充销售单的恶意文件 应用程序防护将其自动隔离运行
向宏病毒发起防御战:
在办公软件领域宏病毒始终是困扰商业的最大问题,攻击者通常会将宏病毒放在文档中然后诱导用户执行宏文件。
对于不熟悉宏的用户来说极易受到诱导而主动去执行宏文件,而宏文件中携带的病毒也可以直接感染目标计算机。
微软操作系统安全合作伙伴总监表示对于不信任的文档例如包含宏的文档会自动放在虚拟化容器中执行防止感染。
用户要使用该功能需要在启用Windows 10 Application Guard 应用程序防护服务且使用Office 365 ProPlus版。
自动虚拟化执行无需用户确认:
针对宏病毒问题微软已经在办公软件产品里设置安全等级,默认情况下宏文件不会被执行因此必须用户主动点击。
也正是如此攻击者换了个思路在文档里诱导用户点击顶部的确认按钮,这仍然导致相当多的商业用户被感染病毒。
新的应用程序防护服务不会对使用者进行任何提醒,只要是不信任的文档例如包含宏的就会自动放在容器中执行。
攻击者也无法再诱导用户主动去点击确认按钮来执行宏,微软希望通过这项技术来提高商业用户的整体防御能力。
如何开启应用程序防护服务:
注意:如果你使用VMWARE虚拟机则不要开启此服务 微软虚拟化技术与VMWARE冲突会导致虚拟机无法使用。
Windows 10设置:更新与安全、安全中心、打开安全中心、应用和浏览器控制、安装 Defender 应用程序防护。
亦可直接在控制面板中打开程序与功能、然后点击添加功能然后勾选 Defender 应用程序防护服务执行自动安装。
此功能在安装后必须重启计算机才可让功能生效,生效后用户若已更新Office 365 ProPlus就会看到右上角标志。
相关文章
网友评论(共有 0 条评论)