Microsoft Defender, podobnie jak większość czołowych antywirusów, pozwala użytkownikowi dodawać elementy do wyjątków, tak aby skaner je omijał. Dotychczas wykluczone foldery i katalogi były widoczne dla wszystkich w aplikacji i rejestrze, jednak ostatnia aktualizacja ograniczyła tę widoczność do administratorów.
Wyjątki dla silnika skanowania można łatwo podejrzeć w Edytorze rejestru, otwierając ścieżkę "HKLM\Software\Microsoft\Windows Defender\Exclusions". Jak jednak odkrył niedawno użytkownik CISOwithHoodie, Microsoft zmodyfikował ten mechanizm wglądu. Od teraz potrzebne jest konto administratora. W przypadku jego braku (czyli logowania się jako zwykły użytkownik) w aplikacji Zabezpieczenia Windows zobaczymy komunikat o braku uprawnień, by zobaczyć tę stronę.
.jpg)
Przy próbie otwarcia wspomnianej ścieżki rejestru (np. w CMD) na zwykłym koncie pojawi się błąd o odmowie dostępu. Zostaje teraz pytanie, po co w ogóle ta zmiana. Nie chodzi tylko o ochronę mniej technicznych użytkowników przed złośliwym oprogramowaniem, na uruchamianie których mogliby zezwolić. Gdy wyjątki są widoczne dla wszystkich, atakujący mogą łatwiej umieścić złośliwy payload w wykluczonym folderze i kompletnie obejść mechanizm skanowania.
341f31d.png)