Το Windows Defender ή η πλατφόρμα προστασίας από κακόβουλο λογισμικό της Microsoft προστατεύει οικιακούς υπολογιστές, διακομιστές και διαδικτυακές υπηρεσίες όπως το Office 365. Με τον πλούτο πληροφοριών απειλών και δεδομένων τηλεμετρίας, το cloud backend του Defender είναι μια εκπληκτική υπηρεσία προστασίας από κακόβουλο λογισμικό.
Όταν ένα νέο κακόβουλο λογισμικό εμφανίζεται στη φύση, μπορεί να χρειαστούν ώρες για την ομάδα προστασίας από κακόβουλο λογισμικό της Microsoft (ή οποιοδήποτε άλλο λογισμικό προστασίας από ιούς ή κακόβουλο λογισμικό εταιρεία για αυτό το θέμα) να αναλύσει, να αναστρέψει μηχανική και να εκτελέσει εκρήξεις κακόβουλου λογισμικού του αρχείου προτού μπορέσει να αποδεσμεύσει μια υπογραφή εκσυγχρονίζω. Και, για να μην αναφέρουμε το QC που πρέπει να περάσει η ενημέρωση της υπογραφής.
Όσον αφορά την προστασία από κακόβουλο λογισμικό, δεν υπάρχει αμφιβολία ότι η προστασία βάσει υπογραφών είναι πρωταρχική. Αλλά αυτό δεν είναι αρκετό, καθώς μπορεί να μην βοηθά πάντα — ειδικά στην περίπτωση ολοκαίνουργιου ή άγνωστου κακόβουλου λογισμικού. Σύμφωνα με την αναφορά της Microsoft όταν εμφανίζεται ένα νέο κακόβουλο λογισμικό, το 30% των υπολογιστών μολύνονται μέσα στις πρώτες τέσσερις ώρες. Οι ενημερώσεις υπογραφής συνήθως έρχονται ώρες αργότερα.
Η ισχυρή προστασία που βασίζεται σε σύννεφο του Windows Defender, από την άλλη πλευρά, χρησιμοποιεί ευρετικές μεθόδους, μοντέλο μηχανικής μάθησης και κάνει λεπτομερή ανάλυση στο backend για να προσδιορίσει εάν ένα αρχείο είναι κακόβουλο λογισμικό.
Η προστασία που βασίζεται σε σύννεφο του Windows Defender ή η λειτουργία "μπλοκάρισμα με την πρώτη ματιά" είναι από προεπιλογή ενεργοποιημένη. Εάν έχετε απενεργοποιήσει την επιλογή προστασίας cloud στο Windows Defender λόγω ανησυχιών "απόρρητου", καλύτερα παρακολουθήστε την επίδειξη από την ομάδα Μηχανικών του Windows Defender, η οποία δείχνει πόσο αποτελεσματική μπορεί να είναι η προστασία cloud.
Βεβαιωθείτε ότι η Προστασία Cloud "Αποκλεισμός με την πρώτη ματιά" είναι ενεργοποιημένη
Κάντε κλικ στο Έναρξη, Ρυθμίσεις. (Ή πατήστε WinKey + i)
Στη σελίδα Ρυθμίσεις, κάντε κλικ στην Ενημέρωση & Ασφάλεια και μετά στο Windows Defender.
Σιγουρέψου ότι Προστασία που βασίζεται σε σύννεφο και Αυτόματη υποβολή δειγμάτων οι ρυθμίσεις είναι ενεργοποιημένες.
Όταν είναι ενεργοποιημένες οι επιλογές προστασίας cloud του Windows Defender "Αποκλεισμός με την πρώτη ματιά" και υποβολής δειγμάτων στις Ρυθμίσεις του Windows Defender, εάν το σύστημα συναντά ένα ύποπτο αρχείο το οποίο διαφορετικά περνά από ανίχνευση βάσει υπογραφών, το Defender στέλνει τα μεταδεδομένα του ύποπτου αρχείου στο cloud backend. Σημειώστε ότι το cloud δεν ζητά πάντα ολόκληρο το αρχείο.
Οι μηχανές στο backend του cloud αναλύουν τα μεταδεδομένα, χρησιμοποιώντας τις διάφορες λογικές, τη φήμη URL και τα δεδομένα τηλεμετρίας για να προσδιορίσουν εάν το αρχείο είναι κακόβουλο λογισμικό.
Για παράδειγμα, εάν το όνομα αρχείου κακόβουλου λογισμικού ταιριάζει με το όνομα μιας βασικής λειτουργικής μονάδας των Windows, το backend του cloud ελέγχει την ψηφιακή υπογραφή της λειτουργικής μονάδας. Εάν δεν είναι υπογεγραμμένο ή δεν είναι υπογεγραμμένο από τη Microsoft και η «ταξινόμηση» είναι κακόβουλο λογισμικό (με επίπεδο «εμπιστοσύνης» 85%), τότε το cloud καθορίζει ότι το αρχείο είναι κακόβουλο λογισμικό.
Οι αξιολογήσεις «Ταξινόμηση» και «εμπιστοσύνη» που αποτελούν το πιο σημαντικό μέρος της ανάλυσης του backend, λαμβάνονται μέσω του μοντέλου μηχανικής μάθησης.
Σε περίπτωση που το backend του cloud δεν έχει ετυμηγορία, ζητά ολόκληρο το αρχείο για λεπτομερή ανάλυση. Μέχρι να μεταφορτωθεί το αρχείο και το cloud επιβεβαιώσει τη λήψη του, το Windows Defender κλειδώνει το αρχείο και δεν επιτρέπει την εκτέλεση στον πελάτη. Αυτή είναι μια βασική αλλαγή που έχει κάνει η ομάδα του Windows Defender στο Windows 10 Anniversary Update (v1607).
Προηγουμένως, επιτρεπόταν η εκτέλεση του ύποπτου αρχείου ενώ η μεταφόρτωση ήταν σε εξέλιξη, συγχρονισμένα. Ακόμη και πριν ολοκληρωθεί η μεταφόρτωση, το κακόβουλο λογισμικό θα είχε τελειώσει η λειτουργία του και θα είχε αυτοκαταστραφεί.
Φτάνοντας στο demo της ομάδας του Windows Defender Engineering, συζητήθηκαν δύο σενάρια. Στο Σενάριο 1, το backend του cloud ταξινομεί ένα αρχείο ως κακόβουλο λογισμικό, μόνο με βάση τα μεταδεδομένα. Η συσκευή #1 με απενεργοποιημένη προστασία cloud, μολύνεται κατά την εκτέλεση του αρχείου. Και η συσκευή #2 με προστασία cloud ενεργοποιημένη, προστατεύεται άμεσα.
Στο Σενάριο 2, ο πρώτος χρήστης εκτελεί ένα άγνωστο κακόβουλο λογισμικό. Το σύννεφο δεν κατέληξε σε καμία ετυμηγορία με βάση τα μεταδεδομένα, και έτσι ολόκληρο το αρχείο υποβλήθηκε αυτόματα.
Ο χρόνος υποβολής ήταν στις 19:48:59 ώρες – το backend ολοκλήρωσε την αυτοματοποιημένη ανάλυση στις 19:49:01 ώρες (~2 δευτερόλεπτα από τη στιγμή που η μεταφόρτωση έφτασε στο backend του cloud) και διαπίστωσε ότι το αρχείο είναι κακόβουλο λογισμικό.
Από τη στιγμή, το Windows Defender θα μπλοκάρει τυχόν μελλοντικές συναντήσεις αυτού του αρχείου, προστατεύοντας έτσι εκατομμύρια άλλες συσκευές που έχουν ενεργοποιημένη την προστασία βάσει cloud του Windows Defender.
Η Microsoft διαθέτει επίσης μια δοκιμαστική τοποθεσία με το όνομα Windows Defender Testground όπου μπορείτε να ελέγξετε την αποτελεσματικότητα της προστασίας cloud του Defender ανεβάζοντας δείγματα.
Αν και η δεύτερη επίδειξη δεν πέτυχε λόγω ορισμένων προβλημάτων συνδεσιμότητας με το cloud, γενικά είναι χρήσιμο παρουσίαση που εξηγεί τη σημασία της προστασίας που βασίζεται στο cloud του Windows Defender «μπλοκάρισμα με την πρώτη ματιά». χαρακτηριστικό. Εάν είχατε απενεργοποιήσει τη δυνατότητα, υποθέτω ότι θα έχετε τώρα μια δεύτερη σκέψη.
Αναφορές & Συντελεστές
Ενεργοποιήστε τη δυνατότητα "Αποκλεισμός με την πρώτη ματιά" για τον εντοπισμό κακόβουλου λογισμικού μέσα σε δευτερόλεπτα
Εξερευνήστε το Windows Defender Instant Protection | Microsoft Ignite 2016 | Κανάλι 9
Ένα μικρό αίτημα: Αν σας άρεσε αυτή η ανάρτηση, κοινοποιήστε την;
Μια "μικροσκοπική" κοινοποίηση από εσάς θα βοηθούσε πολύ σοβαρά στην ανάπτυξη αυτού του ιστολογίου. Μερικές υπέροχες προτάσεις:- Καρφιτσώστε το!
- Μοιραστείτε το στο αγαπημένο σας ιστολόγιο + Facebook, Reddit
- Tweet το!