Windows Defender这5个开关默认关闭，手动开启更安全

你的Windows电脑真的安全吗？微软自带的杀毒工具其实藏着几层额外防护，但出厂时默认没打开。

最近ZDNET梳理了Windows Defender（微软电脑管家）的隐藏设置。结论是：基础防护够用，但手动开启几个关键选项后，防护力度能上一个台阶。这篇文章按时间线还原了微软安全策略的演进，以及每个隐藏功能背后的设计逻辑。

微软的底气：默认防护已覆盖核心场景

2024年底，微软在官方学习中心发了一篇帖子，首次系统回应了"Windows Defender够不够用"这个问题。

微软的立场很明确：对绝大多数用户，保持默认设置、及时更新系统、谨慎下载软件，这三件事做到位，Defender就能拦住常见威胁。这篇帖子被外界视为微软对第三方杀毒软件的正面回应——毕竟卡巴斯基、诺顿们一直质疑内置工具的能力边界。

但微软留了一个口子。帖子末尾提到：如果你需要身份监控、家长控制这类增值服务，再考虑第三方方案。

这个表述很微妙。微软没有说Defender功能全覆盖，而是划了一条线——线以上是基础安全，线以上是增值服务。问题出在"基础"的定义上。

关键转折：五层防护被默认关闭

Defender的核心功能确实默认开启，包括实时病毒扫描、云查杀、防火墙。但ZDNET的测试发现，还有五个关键设置处于关闭状态，它们分别对应不同的攻击场景。

第一个被忽视的是文件夹访问限制（受控文件夹访问）。这个功能专门拦截勒索软件——一旦开启，未经授权的程序无法修改你的文档、照片等敏感目录。2023年WannaCry变种 resurgence 后，微软在Defender中强化了这一层，但默认不启用，理由是"可能干扰正常软件安装"。

第二个是网络保护（网络防护）。它把SmartScreen的拦截能力从浏览器延伸到整个系统层面，阻止恶意域名连接。Windows 10 1709版本引入，但同样默认关闭。

第三个是攻击面减少规则（攻击面缩减）。这是一组针对Office宏、脚本、可执行文件的精细化策略，企业版Windows默认启用部分规则，家庭版则全部关闭。微软的解释是"避免误杀影响用户体验"。

第四个是核心隔离（核心隔离）下的内存完整性检查。它通过硬件虚拟化技术，把系统关键进程与恶意代码隔离开。这个功能对硬件有要求（需支持虚拟化且驱动兼容），所以微软选择让用户手动开启而非强制启用。

第五个是篡改防护（防篡改保护）。它阻止恶意软件关闭Defender本身——听起来很基础，但2022年前这个选项是开放的，攻击者拿到管理员权限后可以直接禁用杀毒软件。微软后来补上这一层，但仍需用户确认开启。

为什么是"可选"而非"默认"？

微软的产品逻辑在这里出现张力。安全团队希望防护最大化，但Windows团队必须考虑兼容性、性能、用户投诉。

以文件夹访问限制为例。开启后，每次新软件尝试写入受保护目录，系统都会弹窗询问。对技术用户这是可控的，但对普通用户，频繁的权限请求会被视为"电脑变慢了"或"系统出问题了"。微软客服数据显示，2022年因安全设置引发的"误报"投诉中，这类拦截占比超过三分之一。

攻击面减少规则的问题更复杂。某些企业内部的旧版财务软件、医院的老旧医疗设备驱动，依赖特定宏或脚本行为。一刀切启用会导致业务中断。微软的妥协方案是：企业IT可以组策略批量配置，家庭用户自己决定。

核心隔离的硬件门槛则是客观限制。2021年前出厂的大量设备，尤其是低端笔记本，CPU不支持虚拟化或BIOS未开启相关选项。微软如果强制启用，会导致这部分用户开机失败或性能暴跌。

手动开启的正确姿势

ZDNET的测试建议遵循一个原则：逐个开启，观察冲突。

第一步，打开Windows安全中心，进入"病毒和威胁防护"→"管理设置"，先开启篡改防护。这是底座——如果杀毒软件本身能被轻易关闭，其他设置毫无意义。

第二步，同一页面找到"核心隔离详细信息"，开启内存完整性。如果此处显示"不兼容"，说明有驱动程序需要更新。微软提供了一个兼容性检查工具，可以定位具体是哪个硬件驱动拖后腿。

第三步，进入"应用和浏览器控制"→"基于声誉的保护设置"，把"检查应用和文件""SmartScreen for Microsoft Edge""SmartScreen for Microsoft Store应用"全部打开。然后返回上一层，开启"网络保护"——这一步把防护从浏览器扩展到所有网络连接。

第四步，在"病毒和威胁防护"→"管理设置"底部找到"勒索软件防护"，开启"文件夹访问限制"。系统会默认保护文档、图片、视频、桌面、收藏夹五个目录，你可以手动添加其他位置。首次开启后，建议运行一周，把常用软件加入白名单，避免后续弹窗干扰。

第五步，攻击面减少规则藏在"应用和浏览器控制"→"攻击面减少"里。这里有十几条可选项，ZDNET建议家庭用户至少开启三条：阻止Office应用创建子进程、阻止从邮件执行可执行内容、阻止脚本下载可执行内容。这三条覆盖了钓鱼邮件和恶意宏最常见的攻击路径。

第三方杀毒软件还有必要吗？

全部开启后，Defender的防护密度接近企业级端点安全方案。但这是否意味着可以卸载卡巴斯基、Bitdefender们？

微软自己的答案是分层的。如果你只需要防病毒、防勒索、防钓鱼，Defender全开已经足够。但如果你要监控暗网是否泄露了自己的身份证号、要远程锁定孩子电脑上的游戏时间、要跨平台统一管理手机和Mac的安全状态——这些场景Defender覆盖不到，第三方工具仍有价值。

一个容易被忽视的细节是：Defender的病毒库更新频率。微软官方说法是"云端实时更新"，但实际测试显示，本地引擎的签名文件仍遵循每日一次的推送节奏。相比之下，卡巴斯基等厂商对零日威胁的响应可以缩短到小时级。对于高风险用户（如经常处理来路不明附件的记者、分析师），这数小时的窗口期可能是致命的。

另一个变量是界面和报告。Defender的设计哲学是"安静运行"，发现威胁后清除、记录、继续。但企业安全团队需要详细的攻击链分析、横向移动轨迹、取证日志——这些功能在Defender for Endpoint（企业付费版）里才有，家庭版不提供。

行业信号：操作系统厂商的安全边界扩张

把这条新闻放在更长的时间线里看，微软正在做一件十年前不可想象的事：把操作系统自带的安全工具，做到足以替代第三方方案。

2009年，微软推出Microsoft Security Essentials（安全必备），当时被业界嘲笑为"安慰剂"——功能简陋，检测率低，主要目的是安抚反垄断监管机构，证明Windows没有故意给第三方杀毒软件制造障碍。

2015年，Security Essentials进化成Windows Defender，内置进Windows 10。检测能力大幅提升，但资源占用高、误报多的口碑仍未扭转。

2020年后，微软收购了几家安全初创公司，把云分析、行为检测、自动化响应的能力注入Defender。同时，Windows 11的硬件要求（TPM 2.0、安全启动）从底层提升了攻击门槛。

到现在的Windows 11 24H2版本，Defender的独立测试成绩已经能排进第一梯队。AV-TEST 2024年12月的报告显示，其防护、性能、易用性三项评分均为满分。这是微软安全团队花了十五年争取的位置。

但"足够好"和"默认全开"之间，微软选择了保守路径。五个关键设置的关闭状态，本质上是对兼容性风险的妥协。这种妥协是否合理，取决于你站在哪个视角——安全研究者认为任何未启用的防护都是漏洞，产品经理则认为崩溃的蓝屏比病毒更损害品牌信任。

ZDNET的测试最后提了一个实用建议：开启后观察两周，如果遇到某个软件无法安装或运行，先暂时关闭对应选项，完成操作后再打开。这种"开关思维"对普通用户是负担，但在当前的技术约束下，可能是平衡安全与可用性的唯一解法。

你的Windows电脑现在是什么状态？五个开关开了几个，还是全部保持出厂设置？