Windows Defender tai Microsoftin haittaohjelmien torjuntaalusta suojaa kotitietokoneita, palvelimia ja verkkopalveluita, kuten Office 365:tä. Defenderin pilvitaustajärjestelmä on ällistyttävä haittaohjelmien suojauspalvelu, jossa on runsaasti uhkatieto- ja telemetriatietoja.
Kun uusi haittaohjelma ilmestyy luonnossa, Microsoftin haittaohjelmien torjuntatiimin (tai minkä tahansa muun virus- tai haittaohjelmien torjuntatyön) voi kestää tunteja. yritys) analysoida, suunnitella ja suorittaa haittaohjelmien räjähdys tiedoston ennen kuin se voi vapauttaa allekirjoituksen päivittää. Ja, puhumattakaan QC: stä, allekirjoituksen päivityksen on läpäistävä.
Mitä tulee haittaohjelmasuojaukseen, ei voida kiistää sitä tosiasiaa, että allekirjoituspohjainen suojaus on ensisijainen. Mutta se ei riitä, sillä se ei välttämättä aina auta – etenkään täysin uusien tai tuntemattomien haittaohjelmien tapauksessa. Microsoftin raportin mukaan, kun uusi haittaohjelma ilmestyy, 30 % tietokoneista saa tartunnan ensimmäisten neljän tunnin aikana. Allekirjoituspäivitykset tulevat yleensä tunteja myöhemmin.
Windows Defenderin vankka pilvipohjainen suojaus puolestaan käyttää heuristiikkaa, koneoppimismallia ja tekee taustalla yksityiskohtaisen analyysin määrittääkseen, onko tiedosto haittaohjelma.
Windows Defenderin pilvipohjainen suojaus tai "estä ensisilmäyksellä" -ominaisuus on oletuksena käytössä. Jos olet poistanut pilvisuojausvaihtoehdon käytöstä Windows Defenderissä "yksityisyyksien" vuoksi, sinun on parempi katso Windows Defender Engineering -tiimin demo, joka näyttää kuinka tehokasta pilvisuojaus voi olla.
Varmista, että "Estä ensisilmäyksellä" -pilvisuojaus on käytössä
Napsauta Käynnistä, Asetukset. (Tai paina WinKey + i)
Napsauta Asetukset-sivulla Päivitys ja suojaus ja sitten Windows Defender.
Varmista että Pilvipohjainen suojaus ja Automaattinen näytteen lähetys asetukset ovat käytössä.
Kun Windows Defenderin "Estä ensisilmäyksellä" -pilvisuojaus ja näytelähetysvaihtoehdot ovat käytössä Windows Defenderin asetuksissa, jos järjestelmä kohtaa epäilyttävän tiedoston, joka muuten läpäisee allekirjoituspohjaisen tunnistuksen, Defender lähettää epäilyttävän tiedoston metatiedot pilveen backend. Huomaa, että pilvi ei aina pyydä koko tiedostoa.
Pilvitaustan koneet analysoivat metadataa käyttämällä erilaisia logiikkaa, URL-mainetta ja telemetriatietoja määrittääkseen, onko tiedosto haittaohjelma.
Jos haittaohjelman tiedostonimi esimerkiksi vastaa Windows-ytimen nimeä, pilvitaustaohjelma tarkistaa moduulin digitaalisen allekirjoituksen. Jos se on allekirjoittamaton tai Microsoft ei ole allekirjoittanut sitä ja sen "luokitus" on haittaohjelma ("luottamustasolla" 85 %), pilvi määrittää tiedoston haittaohjelmaksi.
Taustaanalyysin tärkeimmän osan muodostavat "luokittelu" ja "luottamus" -arvioinnit saadaan koneoppimismallin avulla.
Jos pilvitausta ei saa tuomiota, se pyytää koko tiedostoa yksityiskohtaista analyysiä varten. Ennen kuin tiedosto on ladattu ja pilvi vahvistaa sen vastaanottamisen, Windows Defender lukitsee tiedoston eikä salli sen suorittamista asiakkaalla. Tämä on keskeinen muutos, jonka Windows Defender -tiimi on tehnyt Windows 10 Anniversary Update -päivityksessä (v1607).
Aiemmin epäilyttävän tiedoston annettiin ajaa latauksen ollessa käynnissä synkronisesti. Jo ennen kuin lataus oli valmis, haittaohjelma olisi lopettanut toiminnan ja tuhonnut itsensä.
Windows Defender Engineering -tiimin esittelyssä keskusteltiin kahdesta skenaariosta. Skenaariossa 1 pilvitaustajärjestelmä luokittelee tiedoston haittaohjelmaksi vain metatietojen perusteella. Laite #1, jonka pilvisuojaus on poistettu käytöstä, saa tartunnan, kun tiedosto suoritetaan. Ja laite #2, jossa on pilvisuojaus päällä, on välittömästi suojattu.
Skenaariossa 2 ensimmäinen käyttäjä suorittaa tuntemattoman haittaohjelman. Pilvi ei saanut metatietojen perusteella päätöstä, joten koko tiedosto lähetettiin automaattisesti.
Lähetysaika oli klo 19.48.59 – taustaohjelma viimeisteli automaattisen analyysin klo 19.49.01 (~2 sekuntia siitä hetkestä, kun lataus osui pilvitaustaohjelmaan) ja määritti tiedoston olevan haittaohjelma.
Siitä hetkestä lähtien Windows Defender estäisi kyseisen tiedoston tulevat kohtaamiset ja suojelisi näin miljoonia muita laitteita, joissa on käytössä Windows Defenderin pilvipohjainen suojaus.
Microsoftilla on myös testisivusto nimeltä Windows Defender Testground jossa voit tarkistaa Defenderin pilvisuojauksen tehokkuuden lataamalla näytteitä.
Vaikka toinen demo ei onnistunut joidenkin pilven yhteysongelmien vuoksi, se on kaiken kaikkiaan hyödyllinen esitys, joka selittää Windows Defenderin "estää ensisilmäyksellä" pilvipohjaisen suojauksen tärkeyden ominaisuus. Jos olisit poistanut ominaisuuden käytöstä, luulen, että sinulla on nyt toinen ajatus.
Referenssit ja krediitit
Ota käyttöön Block at First Sight -ominaisuus havaitaksesi haittaohjelmat sekunneissa
Tutustu Windows Defender Instant Protectioniin | Microsoft Ignite 2016 | Kanava 9
Yksi pieni pyyntö: Jos pidit tästä viestistä, jaa tämä?
Yksi "pieni" jakaminen sinulta auttaisi todella paljon tämän blogin kasvussa. Muutamia hienoja ehdotuksia:- Kiinnittää sen!
- Jaa se suosikkiblogiisi + Facebookiin, Redditiin
- Twiittaa se!