- C5 e" o; W- k　　可能是考虑到现在网络上的间谍软件特别猖獗，所以微软在Windows Vista中内置了一款相当不错的反间谍软件——Windows Defender。 ! R( n' {2 o( r5 ~6 O9 k
6 J8 `2 B6 R3 G( U) t
Windows Defender概述 ! W, X" I7 Z, d) N) h
( F3 _( w7 h5 C6 D+ l
　　Windows Defender的前身是Giant公司的GiantAntispyware。2004年12月微软收购了Giant公司，并把Giant Antispyware更名为MicrosoftAntisyware（Beta 1）。在今年的2月16日，又将其正式更名为Windows Defender（Beta 2）。
2 {- U: Y( M8 {  s3 M# Y4 B6 p2 y: {0 J. V5 d' F) j
　　相对于Microsoft Antisyware Beta 1和其他第三方的反间谍软件工具，Windows Defender Beta 2具备以下显著的优点： : h, U: ]8 c/ _+ Y$ x- \$ k
" y8 |; O1 r! K0 K, O+ F
　　1）只需要用户进行很少的人工干预，Windows Defender就可以轻松工作在最佳状态。
. y7 P7 T2 e7 b4 P, C; i- a
0 Q" C' ^* ^+ `& d: f  }) p　 2）Windows Defender的工作界面非常简单，平时很难找到它的“踪影”，它并不像其他同类软件那样会在任务栏通知区域里添加一个图标。但是一旦发现Windows系统遭到间谍软件的危害，它就会立即“现身”帮助我们解决问题。
; a9 I* r0 a. d% z4 o, T  U% O6 Y4 S' Y
　　3）Windows Defender的软件更新集成到Windows Update中，无需我们额外花费精力进行管理。 8 }% [4 q' ^' H

. f( S2 q1 k7 }/ g/ j% M" J; V　　还有最重要的一个优点，就是Windows Defender是免费的，真是便宜量又足，完全可以给家庭用户带来足够的间谍软件保护功能。　　 1 z1 C9 S) P1 \1 u( A

2 d4 E  R! H! U# ]+ f4 K* _为什么看不到Windows Defender的通知区域图标
) L0 W: u6 u  y: ?# ?+ x
- p9 ^9 P* p1 m1 q5 O" K/ x6 y/ m　　如果系统一切正常的话，Windows Defender就会从任务栏通知区域彻底消失。这对于熟悉前一版本Microsoft Antispyware的用户来说，可能会很不习惯，可能感觉Windows Defender并没有实时保护我们的计算机。　　 5 {" D1 U- Q" U5 U% t: w

1 V! V7 N' l5 h" { 　　尽管平时Windows Defender并没有出现在任务栏的通知区域，但是实际上Windows Defender启动了一个后台服务，正在时时刻刻默默地替我们的计算机保驾护航。我们可以用以下步骤进行验证：
' q8 H% q9 u9 N- b) s9 I$ m! K: Z/ V! R7 Y8 ^0 G
　　1）在运行对话框里输入“services.msc”并回车打开“服务”管理单元窗口。
  m* p# v- d+ s
4 h6 K( z7 x# G% |) i; p　　2）在打开窗口右侧的详细窗格里定位到“Windows Defender Service”服务，双击并打开其属性对话框，如图1。
/ l2 `+ v" m  `1 e" X8 O
& M1 t& u7 {. V. F. [　　3）可以看到“Windows Defender Service”服务的启动类型为“自动”，这表明该服务随系统自动启动，其服务状态为“已启动”， Windows Defender确实在默默地为我们服务，只是它比较“低调”而已。 * l2 I! K: D# P4 V* x2 |; i2 p
Windows Defender的实时监护
5 q# t; i6 [% f# b7 k
9 k1 H, S4 m5 H5 W　　Windows Defender默认启用实时监护功能，一旦检测到对系统有危害的动作，就会立即弹出警告消息框。   \7 ^8 D( Q" L5 ~6 ~

$ P4 z5 p+ n0 q0 T8 u

　　如果安装某个应用程序时发现其中“夹带”了间谍软件（例如臭名卓著的3721），Windows Defender马上就会弹出如图2的警告框。
3 t8 U7 U" A/ z; f3 |5 d　　这时候可以直接单击该警告框上的“全部删除”按钮，如果不放心的话，还可以单击“复查”按钮进行查看，结果如图3。 8 s3 t4 F9 R. P# p& c
& a! ?  N; G7 N1 V6 G7 W
3 A7 l! }. n! W5 @9 a: z
　 确认无误后，可以单击“全部删除”按钮，即可开始清除过程，由于3721涉及的文件和注册表键值较多，所以清除过程需要花上一点时间，如图4。清除结束后，系统可能会提示重新启动，以确保防护操作生效。 3 ?! I. }  W( p1 _* i6 C

Windows Defender的手动扫描
1 z1 j" O$ t0 L: ?+ B) m5 u; V7 v, B' `/ W% \
　　除了实时监护外，系统默认每天都对系统进行一次快速扫描，以最大限度地保护我们的系统。
6 ^  C& L: [7 X
+ a5 O  o7 A" `7 ~" w　　除此之外，我们还可以手动扫描： 7 x0 l8 U" `& D+ i
% ]- d6 P# l& I1 M
　 1）单击Windows Defender主窗口“扫描”按钮右侧的下拉箭头，在展开的下拉菜单里可以看到三个菜单项：快速扫描、完整扫描和自定义扫描，分别对系统进行快速扫描、完全扫描和定制扫描。
; e1 p/ C; r# [* r- n9 f/ X5 U5 k3 a: c: y3 f1 V# j# u0 a0 ^2 O: z
　　2）单击“自定义扫描”，即可进入“选择扫描选项”页面，选中其上的“扫描选定的驱动器和文件夹”选项，然后单击右侧的“选择”按钮。

　　3）在打开的对话框上指定所需扫描的驱动器和文件夹，如图5。单击“确定”按钮，回到“选择扫描选项”页面，单击其上的“立即扫描”按钮即可开始扫描。
$ I2 D4 _. v! ?$ d  r

自定义Windows Defender的配置
$ U! W5 ^. T3 `2 t$ i
' ~$ ~" f' Z  n& v% a　　Windows Defender的自定义配置功能非常强大，而且默认配置就已经可以提供足够的安全防护。这里我们也可以对其进行自定义： 2 G/ C- q9 _" e5 A9 U/ m

7 w8 ^  R, c' N　　首先单击Windows Defender主窗口的“工具”按钮，然后单击“选项”，即可进入配置页面。 ' U' W4 n8 p; F6 t+ }% O( L4 ]$ v
自动扫描配置 2 K; a+ M' r1 ]: H) ?

& P6 Y; r  I( X% w+ n8 P+ Q" h　　在“自动扫描”部分，可以指定扫描的频率，如图6。默认是每天都扫描，我们可以指定每星期扫描一次，例如可以选择星期日扫描。还可以指定扫描的时间，默认是清晨2点，可以进行调整。 . o* Z  F' r# B- y

实时监护自定义 + `% b. V' m1 a! \9 b
! K& o% F; u# m
　　还可以对实时监护的功能进行自定义，在“选项”页面的“实时保护选项”部分，可以选择实时监护所涉及的选项，这里推荐全部勾选，如图7。

Windows Defender的高级功能 * C% [. C1 U6 l/ p. r- A

. Z- T. u8 w5 ?( ^+ Y　　尽管WindowsDefender和它的前任Microsoft Antispyware相比，变化非常大，但是却保留了MicrosoftAntispyware最精华的部分——软件资源管理器。该功能可以帮助我们详细地了解并配置自启动进程、当前运行任务和网络连接，接下来分别进行描述。
! I$ j8 J6 M3 a" v5 c- T4 |
8 R: C% M* Z  R: M; j9 @　　首先单击Windows Defender主窗口的工具按钮，然后单击“软件资源管理器”，即可进入“软件资源管理器”页面。　 / z' k: a- s9 T! B2 a, z- G

配置自启动进程 ( |+ m' |( ]4 S3 B2 n( D6 M0 w
0 e/ e  k+ `  Q
　　在“类别”下拉列表框里选择“启动程序”选项，即可在页面的左侧显示当前系统的所有自启动进程，并且按照所属厂商进行归类。
3 o5 [1 r1 r) K- Z4 \/ h7 X; h% o6 h: a& ~& L; i4 T
　　任意选中其中的某个自启动进程，就可以在右侧的详细窗格里查看其具体信息：例如是否具有数字签名（并且显示提供签名的厂商），该应用程序所在的路径，启动类型、是否属于Windows自带的进程等。
$ E+ s0 p& I8 y% {* y8 a  u5 A! h/ E+ J
　　例如在左侧的进程列表里选择“Microsoft Windows Explorer”进程，就可以在右侧详细窗格里查看该进程的具体信息，如图8。 5 O5 v4 T7 S+ S5 D% Z" [
" q$ n; I6 _- Z& m) f
　　● 从“数字签名方”一栏里可以知道该进程是由“Microsoft Windows Verification Intermediate PCA”进行数字签名，应该是可信的进程。 ; z% B) }) V1 G

( U5 P6 A$ R; ~　　● 从“文件路径”一栏里可以了解该进程的程序文件位于“D:\WINDOWS\explorer.exe”。

  

当前运行的任务 % R; w: e) }  W5 c# c" Z
, K5 U, _, K) l7 u
　　在“类别”下拉列表框里选择“当前运行的程序”选项，即可在页面的左侧显示所有已经启动的进程，并且按照所属厂商进行归类。 ! W+ c6 |% P$ \- S
7 ~6 o8 a! o$ t
尽管在任务管理器中也能查看当前启动的进程，但是Windows Defender所提供的信息远比任务管理器多。 - Z& ]# ^( {5 l

8 ^: y+ q; ?$ b0 F! _0 `- T　　这里可以在左侧的进程列表里选中一个“Microsoft Generic Host Process for Win32 Services”（svchost.exe）进程，即可在右侧详细窗格里看到其具体信息，如图9。 3 o! _2 D8 @1 k) K) G# L1 ]7 U

( H' g" w0 U7 b' H5 l" v( C4 X　　其中绝大多数信息类似于查看自启动进程所得到的信息。但是其中的一项“服务”信息非常有用，可以查看该进程所加载的系统服务，例如本例中我们可以看到该进程加载了DCOM Server Process Launcher、Plug and Play等多个服务。
' r) H/ A: L; s! N$ c, a9 c4 P
　　对于某些进程，我们可以单击右侧的“结束进程”按钮中止该进程，但是并不是所有的进程都可以通过这种方法中止（这时候“结束进程”按钮灰色显示），这是因为这些进程是Windows Vista的重要进程，如果强行中止的话，可能会导致系统崩溃。

网络连接程序
; R7 }& L/ q) e& F7 C  B
: e8 C! n6 r  R# o) C2 ]% ~　　在“类别”下拉列表框里选择“网络连接的程序”选项，即可在页面的左侧显示所有网络连接进程，并且按照所属厂商进行归类。

　　这个功能非常实用，例如我们选中左侧进程列表里的“Messenger”进程，在右侧的详细窗格里即可看到该进程的具体信息，如图10所示。 ' @% b& x7 D% [, J" {, |
% G7 D. K4 N+ Y5 Y$ `8 L! G* |
　　可以看到Messenger在本地打开的TCP/IP端口，以及远程IP地址所监听的端口。如果要中止该进程，单击右侧的“结束进程”按钮即可。如果希望阻止Messenger的入站连接，单击右侧的“传入阻止”按钮即可。 % f, [; p. t( j. Y

5 b' T: H$ e9 ]. r3 K　　单击右侧的“传入阻止”按钮，实际上是在Windows防火墙里取消“Windows Live Messenger 8.0”的例外，我们可以按照以下步骤进行验证：

　　在运行对话框里输入“firewall.cpl”，按回车打开“Windows防火墙”对话框，并切换到“例外”标签页。 / P7 O6 o, g% q2 f4 `$ |7 [1 C. C

0 [8 d: D1 I2 Q　　在该“例外”标签页里，我们可以看到“Windows Live Messenger 8.0”的例外左侧的复选框被清空。