Windows Defender eller Microsofts anti-malware-platform beskytter hjemmecomputere, servere og onlinetjenester såsom Office 365. Med det væld af trusselsintelligens og telemetridata er Defenders cloud-backend en forbløffende malwarebeskyttelsestjeneste.
Når en ny malware dukker op i naturen, kan det tage timer for Microsofts anti-malware-team (eller enhver anden anti-virus eller anti-malware virksomhed for den sags skyld) for at analysere, reverse engineering og udføre malware-detonation af filen, før den kan frigive en signatur opdatering. Og for ikke at nævne QC'en skal signaturopdateringen passere igennem.
Hvad angår malwarebeskyttelse, er der ingen tvivl om, at signaturbaseret beskyttelse er den bedste. Men det er ikke tilstrækkeligt, da det måske ikke altid hjælper - især i tilfælde af helt ny eller ukendt malware. Ifølge Microsofts rapport, når en ny malware dukker op, er 30 % af computerne inficeret inden for de første fire timer. Signaturopdateringerne kommer normalt timer senere.
Windows Defenders robuste skybaserede beskyttelse bruger på den anden side heuristik, maskinlæringsmodel og udfører detaljerede analyser i backend for at afgøre, om en fil er malware.
Windows Defender skybaseret beskyttelse eller "blok ved første blik"-funktionen er som standard aktiveret. Hvis du har slået skybeskyttelsesmuligheden fra i Windows Defender på grund af "privatlivs"-problemer, er det bedre se demoen fra Windows Defender Engineering-teamet, som viser, hvor effektiv skybeskyttelse kan være.
Sørg for, at "Bloker ved første blik" Cloud Protection er aktiveret
Klik på Start, Indstillinger. (Eller tryk på WinKey + i)
På siden Indstillinger skal du klikke på Opdater og sikkerhed og derefter på Windows Defender.
Sørg for at Skybaseret beskyttelse og Automatisk prøveindsendelse indstillinger er aktiveret.
Når Windows Defender's "Bloker ved første blik"-skybeskyttelse og muligheder for indsendelse af eksempler er aktiveret i Windows Defender-indstillinger, hvis systemet støder på en mistænkelig fil, som ellers passerer signaturbaseret detektion, sender Defender metadataene for den mistænkelige fil til skyen bagende. Bemærk, at skyen ikke altid anmoder om hele filen.
Maskinerne i cloud-backend analyserer metadataene ved at bruge de forskellige logikker, URL-omdømme og telemetridata til at afgøre, om filen er malware.
For eksempel, hvis malware-filnavnet matcher navnet på et kerne-Windows-modul, kontrollerer cloud-backend modulets digitale signatur. Hvis den er usigneret eller ikke underskrevet af Microsoft, og dens "klassificering" er malware (med "sikkerheds"-niveau 85%), så afgør skyen, at filen er malware.
“Klassificering” og “tillid” vurderingerne, som udgør den vigtigste del af backend analysen, opnås gennem machine-learning modellen.
I tilfælde af at cloud-backend ikke kommer med nogen dom, anmoder den om hele filen til en detaljeret analyse. Indtil filen er uploadet, og skyen bekræfter modtagelsen af samme, låser Windows Defender filen og tillader ikke at køre på klienten. Det er en vigtig ændring, som Windows Defender-teamet har foretaget i Windows 10 Anniversary Update (v1607).
Tidligere fik den mistænkelige fil lov til at køre, mens uploaden var i gang, synkront. Selv før uploaden var fuldført, ville malwaren være færdig med at køre og selvødelægge sig selv.
Når vi kommer til Windows Defender Engineering-teamets demo, blev der diskuteret to scenarier. I Scenario 1 klassificerer cloud-backend en fil som malware, kun baseret på metadataene. Enhed #1 med skybeskyttelse slået fra, bliver inficeret, når filen køres. Og enhed #2 med skybeskyttelse slået til, er øjeblikkeligt beskyttet.
I Scenario 2 kører den første bruger en ukendt malware. Skyen nåede ingen dom baseret på metadataene, og dermed blev hele filen automatisk indsendt.
Indsendelsestiden var kl. 19:48:59 timer – backend afsluttede den automatiske analyse kl. 19:49:01 timer (ca. 2 sekunder fra det tidspunkt, hvor upload ramte cloud-backend) og fastslog, at filen var malware.
Lige fra det øjeblik, ville Windows Defender blokere eventuelle fremtidige møder af denne fil og dermed beskytte millioner af andre enheder, som har Windows Defender skybaseret beskyttelse aktiveret.
Microsoft har også et teststed ved navn Windows Defender Testground hvor du kan tjekke effektiviteten af Defenders skybeskyttelse ved at uploade prøver.
Selvom den anden demo ikke lykkedes på grund af nogle forbindelsesproblemer med skyen, er det generelt en nyttig præsentation, som forklarer vigtigheden af Windows Defenders "blok ved første blik"-sky-baserede beskyttelse funktion. Hvis du havde slået funktionen fra, gætter jeg på, at du nu har en anden tanke.
Referencer og kreditter
Aktiver funktionen Bloker ved første blik for at opdage malware inden for få sekunder
Udforsk Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanal 9
En lille anmodning: Hvis du kunne lide dette opslag, så del venligst dette?
En "lille" andel fra dig ville virkelig hjælpe meget med væksten af denne blog. Nogle gode forslag:- Fastgør det!
- Del det på din yndlingsblog + Facebook, Reddit
- Tweet det!