Windows Defender või Microsofti pahavaravastane platvorm kaitseb koduarvuteid, servereid ja võrguteenuseid, nagu Office 365. Rikkaliku ohuluure ja telemeetriaandmetega on Defenderi pilve taustaprogramm hämmastav pahavarakaitseteenus.
Kui uus pahavara looduses ilmub, võib Microsofti pahavaratõrjemeeskonnal (või mõnel muul viiruse- või pahavaratõrjel) kuluda tunde. ettevõtte jaoks) faili analüüsimiseks, pöördprojekteerimiseks ja pahavara detoneerimiseks, enne kui see saab allkirja vabastada värskendada. Ja, rääkimata kvaliteedikontrollist, peab allkirja värskendus läbima.
Mis puudutab pahavarakaitset, siis ei saa eitada tõsiasja, et allkirjapõhine kaitse on esmatähtis. Kuid sellest ei piisa, sest see ei pruugi alati aidata – eriti uhiuue või tundmatu pahavara puhul. Microsofti aruande kohaselt on uue pahavara ilmumisel 30% arvutitest nakatunud esimese nelja tunni jooksul. Allkirjavärskendused tulevad tavaliselt tunde hiljem.
Windows Defenderi tugev pilvepõhine kaitse seevastu kasutab heuristikat, masinõppe mudelit ja teeb taustaprogrammis üksikasjalikku analüüsi, et teha kindlaks, kas fail on pahavara.
Windows Defenderi pilvepõhine kaitse või funktsioon „blokeeri esmapilgul” on vaikimisi lubatud. Kui olete privaatsusprobleemide tõttu Windows Defenderis pilvekaitse valiku välja lülitanud, on parem vaadake Windows Defender Engineeringi meeskonna demo, mis näitab, kui tõhus võib pilvekaitse olla.
Veenduge, et "Blokeeri esmapilgul" pilvekaitse on lubatud
Klõpsake nuppu Start, Seaded. (Või vajutage WinKey + i)
Lehel Seaded klõpsake nuppu Värskendus ja turvalisus ja seejärel Windows Defender.
Veenduge, et Pilvepõhine kaitse ja Automaatne näidiste esitamine seaded on lubatud.
Kui Windows Defenderi pilvekaitse ja näidiste esitamise valikud on Windows Defenderi sätetes lubatud, kui süsteem satub kahtlase failiga, mis muidu läbib allkirjapõhise tuvastamise, Defender saadab kahtlase faili metaandmed pilve taustaprogramm. Pange tähele, et pilv ei taotle alati kogu faili.
Pilve taustaprogrammi masinad analüüsivad metaandmeid, kasutades erinevaid loogikaid, URL-i mainet ja telemeetrilisi andmeid, et teha kindlaks, kas fail on pahavara.
Näiteks kui pahavara failinimi ühtib Windowsi põhimooduli nimega, kontrollib pilve taustaprogramm mooduli digitaalallkirja. Kui see on allkirjastamata või Microsofti poolt allkirjastamata ja selle klassifikatsioon on pahavara (usaldustasemega 85%), siis tuvastab pilv, et fail on pahavara.
"Klassifikatsiooni" ja "kindluse" hinnangud, mis moodustavad taustaanalüüsi kõige olulisema osa, saadakse masinõppe mudeli abil.
Kui pilve taustaprogramm ei anna otsust, nõuab see üksikasjalikuks analüüsiks kogu faili. Kuni fail on üles laaditud ja pilv kinnitab selle kättesaamist, lukustab Windows Defender faili ega luba kliendil töötada. See on oluline muudatus, mille Windows Defenderi meeskond on Windows 10 aastapäeva värskenduses (v1607) teinud.
Varem lubati kahtlasel failil üleslaadimise ajal sünkroonselt käitada. Isegi enne üleslaadimise lõpetamist oleks pahavara töötamise lõpetanud ja end ise hävitanud.
Windows Defender Engineeringi meeskonna demoga seoses arutati kahte stsenaariumi. 1. stsenaariumi korral liigitab pilve taustaprogramm faili pahavaraks ainult metaandmete põhjal. Seade nr 1, mille pilvekaitse on välja lülitatud, nakatub faili käivitamisel. Ja sees oleva pilvekaitsega seade nr 2 on koheselt kaitstud.
2. stsenaariumi korral käivitab esimene kasutaja tundmatut pahavara. Pilv ei saanud metaandmete põhjal otsust ja seega esitati kogu fail automaatselt.
Esitamise aeg oli 19:48:59 – taustaprogramm lõpetas automatiseeritud analüüsi kell 19:49:01 (~2 sekundit alates ajast, mil üleslaadimine jõudis pilve taustaprogrammi) ja tuvastas, et fail on pahavara.
Alates hetkest blokeerib Windows Defender selle faili kõik edaspidised kokkupuuted, kaitstes seega miljoneid teisi seadmeid, millel on Windows Defenderi pilvepõhine kaitse lubatud.
Microsoftil on ka testisait nimega Windows Defenderi testground kus saate näidiseid üles laadides kontrollida Defenderi pilvekaitse tõhusust.
Kuigi teine demo pilvega mõne ühenduvusprobleemi tõttu ei õnnestunud, on see üldiselt kasulik esitlus, mis selgitab Windows Defenderi pilvepõhise kaitse „blokeerimine esmapilgul” tähtsust tunnusjoon. Kui oleksite selle funktsiooni välja lülitanud, siis arvan, et teil on nüüd teine mõte.
Viited ja autorid
Lubage funktsioon Block at First Sight, et tuvastada pahavara mõne sekundi jooksul
Avastage Windows Defenderi kiirkaitset | Microsoft Ignite 2016 | Kanal 9
Üks väike palve: kui teile see postitus meeldis, siis palun jagage seda?
Üks "pisike" jagamine sinult aitaks tõsiselt kaasa selle blogi kasvule. Mõned suurepärased soovitused:- Kinnitage see!
- Jagage seda oma lemmikblogis + Facebookis, Redditis
- Tweet seda!