Microsoft通过添加统一可扩展固件接口（UEFI）扫描程序，扩展了Microsoft Defender高级威胁防护（ATP）的保护功能。

在过去几年中，随着硬件和固件级别攻击的频率越来越高，Microsoft已决定扩展其安全解决方案的功能，以确保可以继续保持用户安全。

两年前，这家技术巨头推出了 Windows Defender System Guard，以通过通过虚拟机监控程序级别的证明和安全启动（或动态信任根（DRTM））来保证安全启动，从而防止固件级别的攻击，这是Secured-core中默认启用的两个功能个人电脑。

该公司现在寻求通过在Microsoft Defender ATP中添加UEFI扫描引擎来增强这些保护，从而使固件扫描广泛可用。

利用合作伙伴芯片组制造商的见识，该扫描程序包含在Windows 10的内置防病毒解决方案中，并使Microsoft Defender ATP可以扫描固件文件系统并执行安全评估。

UEFI通常无法从操作系统级别访问，以替代传统的BIOS，UEFI中的任何植入物都很难检测到。但是，微软表示，如果正确配置了UEFI并启用了安全启动，则固件是相当安全的。否则，攻击者可能会更改UEFI驱动程序或篡改固件，最终控制设备。

微软解释说，在启动时，UEFI扫描程序与主板芯片组进行交互以读取固件文件系统，从而可以在运行时检查固件内容。

该解决方案使用UEFI防rootkit（可通过串行外围设备接口（SPI）访问固件），完整的文件系统扫描程序（分析固件内容）和检测引擎（识别漏洞利用和恶意行为）等组件执行动态分析。 。

“固件扫描是由运行时事件（例如可疑驱动程序加载）和定期的系统扫描精心安排的。检测在Windows安全中的“保护历史记录”中报告。” Microsoft 解释说。

Microsoft Defender安全中心中的Microsoft Defender ATP客户也可以使用这些检测，以在固件级别对固件攻击和可疑活动进行快速调查和响应。

“凭借其UEFI扫描器，Microsoft Defender ATP可以更深入地了解固件级别的威胁，攻击者已将精力集中在这些级别上。[…] Microsoft威胁防护（MTP）也提供了这种可见性，该威胁提供了更广泛的跨域防御，可以协调端点，身份，电子邮件和应用程序之间的保护。