Windows10的2018年10月更新包含了一个新的“阻止可疑行为”安全功能。默认情况下，此保护处于关闭状态，但您可以启用它以保护您的电脑免受各种威胁。

“阻止可疑行为”的作用是什么？

这个功能的名字很模糊。不过，微软的文档澄清了“阻止可疑行为”只是“Windows Defender漏洞防护攻击表面还原技术”的友好名称。此安全功能在秋季Creators更新中引入，但仅在Windows 10 Enterprise中可用。在2018年10月的更新中，现在每个人都可以通过Windows安全中的一个选项使用它。

启用此功能后，Windows 10将激活各种安全规则。这些规则禁用通常只由恶意软件使用的功能，帮助保护您的电脑免受攻击。

以下是一些攻击面减少规则：

• 阻止来自电子邮件客户端和webmail的可执行内容
• 阻止Office应用程序创建子进程
• 阻止Office应用程序创建可执行内容
• 阻止Office应用程序将代码注入其他进程
• 阻止JavaScript或VBScript启动下载的可执行内容
• 阻止执行可能混淆的脚本
• 阻止来自Office宏的Win32 API调用
• 阻止从Windows本地安全授权子系统窃取凭据(lsass.exe文件)
• 阻止源自PSExec和WMI命令的进程创建
• 阻止从USB运行的不受信任和未签名的进程
• 阻止Office communication应用程序创建子进程

这些是恶意应用程序可能使用的可疑操作。例如，这些规则阻止通过电子邮件到达的可执行文件，阻止Office应用程序执行特定操作，并阻止危险的宏行为。启用这些规则后，Windows可以保护凭据不被窃取，阻止USB驱动器上可疑的可执行文件运行，并拒绝运行伪装成防病毒软件的脚本。

你可以在微软的支持站点上找到一个完整的攻击面减少规则列表。组织可以通过组策略自定义要使用的规则，但是普通的消费者PC会得到一套一刀切的规则。在Windows安全中启用此选项时，究竟使用了哪些规则尚不清楚。

相关报道：Windows 10 2018年10月更新的新功能

这是windows defender漏洞防护的一部分

攻击面减少是Windows Defender漏洞保护的一部分，它还包括漏洞保护、网络保护和受控文件夹访问。

需要澄清的是，“阻止可疑行为”与漏洞攻击保护功能不同，漏洞攻击保护功能可以保护您的电脑免受各种常见漏洞攻击技术的攻击。例如，漏洞利用保护可防止零日攻击使用的常见内存漏洞利用技术，并终止使用这些技术的任何进程。漏洞保护与Microsoft的增强缓解体验工具包（EMET）软件类似。攻击面减少会在更高级别上禁用潜在的危险特性。

默认情况下启用漏洞攻击保护，您可以在Windows安全应用程序的其他位置对其进行调整。默认情况下，还未启用攻击表面减少或“阻止可疑行为”。

相关内容：Windows Defender的新漏洞保护如何工作（以及如何配置）

如何启用“阻止可疑行为”

您可以从以前名为Windows Defender Security Center的Windows安全应用程序启用此功能。

要找到它，请进入“设置”>“更新和安全”>“Windows安全”>“打开Windows安全”，或从“开始”菜单启动“Windows安全”快捷方式。

单击“病毒和威胁保护”选项，然后单击“病毒和威胁保护设置”部分下的“管理设置”链接。

单击“阻止可疑行为”下的开关以打开或关闭此功能。

如果阻止可疑行为阻止了您需要定期执行的操作，您可以返回此处并禁用它。然而，被阻止的行为在正常的PC使用中并不常见。