Windows Defender使用详解5—高级功能配置
前言:5月11日,Windows Defender中文版正式发布。这里盆盆将以五大系列原创文章,对其进行全方位的介绍,可能是目前国内比较完整的Windows Defender技术文章。本系列文章摘自盆盆的近作《Windows Vista使用详解》一书,并作专门修改。本文是第五部分(终结篇),介绍Windows Defender的高级功能配置技巧。
Windows Defender中最精华的部分应该属于软件资源管理器。该功能可以帮助我们详细地了解并配置自启动进程、当前运行任务和网络连接,接下来分别进行描述。
首先启动Windows Defender,然后单击Windows Defender主窗口的“工具”按钮,并单击“软件资源管理器”链接,即可进入“软件资源管理器”页面。
1.自启动程序
在“类别”下拉列表框里选择“启动程序”选项,即可在页面的左侧显示当前系统的所有自启动进程,并且按照所属厂商进行归类。
任意选中其中的某个自启动进程,就可以在右侧的详细窗格里查看其具体信息:例如是否具有数字签名(并且显示提供签名的厂商),该应用程序所在的路径,启动类型、是否属于Windows自带的进程等。
例如在左侧的进程列表里选择“Microsoft Media Center Applet”进程,就可以在右侧详细窗格里查看该进程的具体信息,如附图所示。
n 从“数字签名方”一栏里可以知道该进程是由“Microsoft Windows Verification Intermediate PCA”进行数字签名,应该是可信的进程。
n 从“文件路径”一栏里可以了解该进程的程序文件位于“C:\WINDOWS\ehome\ehTray.exe”。
n 从“启动类型”一栏里可以了解该进程是在注册表的RUN子键下加载启动项的。
如果不希望该进程今后随Windows自动启动,可以单击右下方的“禁用”按钮,然后在如附图所示的对话框上单击“是”按钮即可确认所做的操作。
如果某个自启动的程序并不是以标准用户身份运行,或者是以其他用户身份运行,则右下方的“删除”和“禁用”按钮都会呈灰色显示,这时候需要单击左下方的“为所有用户显示”按钮,然后在弹出的“用户帐户控制”对话框上单击“继续”按钮,才可以继续进行“删除”或者“禁用”操作。
盆盆评注 虽然系统配置程序msconfig也能用来禁用自启动项,但是没有Windows Defender的功能那么强大。
2.当前运行的任务
在“类别”下拉列表框里选择“当前运行的程序”选项,即可在页面的左侧显示以当前用户身份启动的进程,并且按照所属厂商进行归类。
由于默认情况下,只显示以登录用户身份运行的进程,所以这里单击“为所有用户显示”按钮,然后在弹出的“用户帐户控制”对话框上单击“继续”按钮,以显示当前系统的所有进程,同时也能获得足够的权限,用以控制这些进程。
这里可以在左侧的进程列表里选中一个“Microsoft Windows服务主进程”进程,即可在右侧详细窗格里看到其具体信息,如附图所示。
其中绝大多数信息类似于查看自启动进程所得到的信息。例如从“文件路径”一栏里我们可以了解到该进程的映像文件路径是“C:\Windows\System32\svchost.exe”。
但是其中的一项“服务”信息非常有用,可以查看该进程所加载的系统服务,例如本例中我们可以看到该进程加载了Base Filtering Engine、Windows Firewall等多个服务。
对于某些进程,我们可以单击右侧的“结束进程”按钮中止该进程,但是并不是所有的进程,都可以通过这种方法中止(这时候“结束进程”按钮灰色显示),这是因为这些进程是Windows Vista的重要进程,如果强行中止的话,可能会导致系统崩溃。
盆盆评注:尽管在任务管理器中也能查看当前启动的进程,但是Windows Defender所提供的信息远比任务管理器多。
3.网络连接的程序
在“类别”下拉列表框里选择“网络连接的程序”选项,即可在页面的左侧显示所有以当前用户身份启动的、具有网络连接的进程,并且按照所属厂商进行归类。
这里可以在左侧的进程列表里选中一个“Windows Internet Explorer”进程,即可在右侧详细窗格里看到其具体信息,如附图所示。
其中绝大多数信息类似于查看自启动进程所得到的信息。例如从“文件路径”一栏里我们可以了解到该进程的映像文件路径是“C:\Program Files\Internet Explorer\iexplore.exe”。
但是其中最底部的网络连接信息非常有用,可以查看该进程所打开的本地端口,以及所连接的外部端口。
盆盆评注:虽然可以用“netstat -noa”命令查看当前网络的连接情况,同时也可以了解应用程序的进程ID,但是没有Windows Defender方便和强大。