固件级安全，微软安全工具新增UEFI扫描功能

微软Windows10系统自带的安全工具Microsoft Defender Advanced Threat Protection（以下简称Defender）的防护能力越来越强，在多项权威测试中都取得了不错的成绩，对安全性要求不是那么敏感的用户完全可以不用安装第三方的安全软件。而在最近更新的官方博文中，微软更是宣布为其引入了全新的UEFI扫描功能，从而将安全防护功能扩展到固件层面。

据了解，Defender并不是首款支持UEFI扫描的安全软件，早在2013年5月，全球领先的安全软件厂商卡巴斯基就曾推出过支持EFI BIOS级别的安全解决方案卡巴斯基反病毒软件 UEFI 版（KUEFI）。

据卡巴斯基介绍，这款产品可以在进入系统前就在 EFI 环境中运行，从而防止加载任何驻留恶意软件，可有效防御 Rootkit、Bootkit，以及其他专门设计用于绕开桌面反恶意软件技术的恶意软件。

而微软所提供的UEFI扫描功能通过启动时读取固件文件系统来达到和主板芯片进行交互的目的。Defender团队解释到：“UEFI扫描是Windows10 内置防病毒的全新组件，能够为 Microsoft Defender ATP 带来独特的功能，可以扫描固件文件系统内部并进行安全评估。它整合了我们的合作伙伴芯片组制造商的想法，并进一步扩展了Microsoft Defender ATP提供的全面终端保护。”

根据微软的介绍，UEFI 扫描使用了各种最新的解决方案组件，包括包括UEFI反rootkit、全文件系统扫描器和检测引擎，以便对威胁检测进行动态分析。Defender用户同样可以在 Defender获得威胁检测警报，帮助其进行分析，以应对固件级别的可疑活动。负责安全运营的团队则可以借助Defender中的高级查杀功能来清除这些威胁。

不管如何，能在进入系统前载入提供UEFI级别扫描的Defender，能够有效降低恶意程序感染系统的风险，进一步提高系统的安全可靠性。

（编辑：铁柱老师）