Windows Defender oder die Microsoft Anti-Malware-Plattform schützt Heimcomputer, Server und Onlinedienste wie Office 365. Mit der Fülle an Bedrohungsinformationen und Telemetriedaten ist das Cloud-Backend von Defender ein erstaunlicher Malware-Schutzdienst.
Wenn eine neue Malware in freier Wildbahn auftaucht, kann es Stunden dauern, bis das Anti-Malware-Team von Microsoft (oder jede andere Antiviren- oder Anti-Malware) Unternehmen), um die Datei zu analysieren, zurückzuentwickeln und eine Malware-Detonation durchzuführen, bevor eine Signatur freigegeben werden kann aktualisieren. Und ganz zu schweigen von der QC, die das Signatur-Update durchlaufen muss.
Was den Malware-Schutz betrifft, ist nicht zu leugnen, dass signaturbasierter Schutz an erster Stelle steht. Das reicht jedoch nicht aus, da es möglicherweise nicht immer hilft – insbesondere bei brandneuer oder unbekannter Malware. Laut Microsoft-Bericht werden 30 % der Computer innerhalb der ersten vier Stunden infiziert, wenn eine neue Malware auftaucht. Die Signatur-Updates kommen normalerweise Stunden später.
Der robuste Cloud-basierte Schutz von Windows Defender hingegen verwendet Heuristiken, ein Modell für maschinelles Lernen und führt eine detaillierte Analyse im Back-End durch, um festzustellen, ob es sich bei einer Datei um Malware handelt.
Der cloudbasierte Schutz von Windows Defender oder die Funktion „Auf den ersten Blick blockieren“ ist standardmäßig aktiviert. Wenn Sie die Cloud-Schutzoption in Windows Defender aufgrund von „Datenschutz“-Bedenken deaktiviert haben, ist es besser Sehen Sie sich die Demo des Windows Defender Engineering-Teams an, die zeigt, wie effektiv Cloud-Schutz sein kann.
Stellen Sie sicher, dass der Cloud-Schutz „Auf den ersten Blick blockieren“ aktiviert ist
Klicken Sie auf Start, Einstellungen. (Oder drücken Sie WinKey + i)
Klicken Sie auf der Seite Einstellungen auf Update & Sicherheit und dann auf Windows Defender.
Stelle sicher das Cloud-basierter Schutz und Automatische Probenübermittlung Einstellungen aktiviert sind.
Wenn die Cloud-Schutz- und Musterübermittlungsoptionen von Windows Defender „Auf den ersten Blick blockieren“ in den Windows Defender-Einstellungen aktiviert sind, wenn das System auf eine verdächtige Datei stößt, die ansonsten die signaturbasierte Erkennung besteht, sendet Defender die Metadaten der verdächtigen Datei an die Cloud Backend. Beachten Sie, dass die Cloud nicht immer die gesamte Datei anfordert.
Die Maschinen im Cloud-Back-End analysieren die Metadaten und nutzen die verschiedenen Logiken, URL-Reputation und Telemetriedaten, um festzustellen, ob es sich bei der Datei um Malware handelt.
Wenn beispielsweise der Dateiname der Malware mit dem Namen eines zentralen Windows-Moduls übereinstimmt, überprüft das Cloud-Backend die digitale Signatur des Moduls. Wenn sie unsigniert oder nicht von Microsoft signiert ist und ihre „Klassifizierung“ Malware ist (mit „Vertrauensniveau“ 85%), dann bestimmt die Cloud, dass es sich bei der Datei um Malware handelt.
Die Einschätzungen „Klassifizierung“ und „Vertrauen“, die den wichtigsten Teil der Backend-Analyse darstellen, werden durch das Modell des maschinellen Lernens gewonnen.
Falls das Cloud-Backend kein Urteil fällt, fordert es die gesamte Datei zur detaillierten Analyse an. Bis die Datei hochgeladen ist und die Cloud den Empfang derselben bestätigt, sperrt Windows Defender die Datei und lässt die Ausführung auf dem Client nicht zu. Dies ist eine wichtige Änderung, die das Windows Defender-Team im Windows 10 Anniversary Update (v1607) vorgenommen hat.
Zuvor durfte die verdächtige Datei während des Uploads synchron ausgeführt werden. Noch bevor der Upload abgeschlossen war, wäre die Malware beendet und hätte sich selbst zerstört.
Bei der Demo des Windows Defender Engineering-Teams wurden zwei Szenarien besprochen. In Szenario 1 klassifiziert das Cloud-Backend eine Datei nur anhand der Metadaten als Malware. Gerät Nr. 1 mit deaktiviertem Cloud-Schutz wird infiziert, wenn die Datei ausgeführt wird. Und Gerät Nr. 2 mit aktiviertem Cloud-Schutz ist sofort geschützt.
In Szenario 2 führt der erste Benutzer eine unbekannte Malware aus. Die Cloud kam aufgrund der Metadaten zu keinem Urteil und somit wurde die gesamte Datei automatisch übermittelt.
Die Übermittlungszeit war um 19:48:59 Uhr – das Backend hat die automatisierte Analyse um 19:49:01 Uhr (~2 Sekunden ab dem Zeitpunkt des Uploads im Cloud-Backend) abgeschlossen und festgestellt, dass es sich bei der Datei um Malware handelt.
Von diesem Moment an blockiert Windows Defender alle zukünftigen Begegnungen mit dieser Datei und schützt so Millionen anderer Geräte, auf denen der Cloud-basierte Schutz von Windows Defender aktiviert ist.
Microsoft hat auch eine Test-Site namens Windows Defender-Testgelände Hier können Sie die Wirksamkeit des Cloud-Schutzes von Defender überprüfen, indem Sie Beispiele hochladen.
Obwohl die zweite Demo aufgrund einiger Konnektivitätsprobleme mit der Cloud nicht erfolgreich war, ist sie insgesamt nützlich Präsentation, die die Bedeutung des Cloud-basierten Schutzes von Windows Defender „auf den ersten Blick blockieren“ erläutert Merkmal. Wenn Sie die Funktion deaktiviert hätten, denken Sie jetzt wahrscheinlich noch einmal darüber nach.
Referenzen & Credits
Aktivieren Sie die Funktion "Auf den ersten Blick blockieren", um Malware innerhalb von Sekunden zu erkennen
Entdecken Sie den sofortigen Schutz von Windows Defender | Microsoft Ignite 2016 | Kanal 9
Eine kleine Bitte: Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn bitte?
Eine "kleine" Aktie von Ihnen würde dem Wachstum dieses Blogs sehr helfen. Einige tolle Vorschläge:- Pin es!
- Teilen Sie es mit Ihrem Lieblingsblog + Facebook, Reddit
- Tweete es!