Windows Defender ou la plate-forme anti-malware de Microsoft protège les ordinateurs personnels, les serveurs et les services en ligne tels qu'Office 365. Avec la richesse des informations sur les menaces et des données de télémétrie, le backend cloud de Defender est un service de protection contre les logiciels malveillants étonnant.
Lorsqu'un nouveau malware apparaît dans la nature, cela peut prendre des heures à l'équipe anti-malware de Microsoft (ou à tout autre anti-virus ou anti-malware entreprise d'ailleurs) pour analyser, faire de l'ingénierie inverse et effectuer une détonation du fichier malveillant avant qu'il ne puisse libérer une signature mettre à jour. Et, sans parler du contrôle qualité par lequel la mise à jour de la signature doit passer.
En ce qui concerne la protection contre les logiciels malveillants, il est indéniable que la protection basée sur les signatures est primordiale. Mais ce n'est pas suffisant, car cela peut ne pas toujours aider, en particulier dans le cas de logiciels malveillants nouveaux ou inconnus. Selon le rapport de Microsoft lorsqu'un nouveau malware apparaît, 30% des ordinateurs sont infectés dans les quatre premières heures. Les mises à jour des signatures arrivent généralement des heures plus tard.
La protection robuste basée sur le cloud de Windows Defender, quant à elle, utilise des heuristiques, un modèle d'apprentissage automatique et effectue une analyse détaillée au niveau du backend pour déterminer si un fichier est un logiciel malveillant.
La protection basée sur le cloud de Windows Defender ou la fonctionnalité « bloquer à première vue » est activée par défaut. Si vous avez désactivé l'option de protection du cloud dans Windows Defender en raison de problèmes de « confidentialité », vous feriez mieux de regardez la démo de l'équipe d'ingénierie de Windows Defender, qui montre à quel point la protection du cloud peut être efficace.
Assurez-vous que la protection cloud « Bloquer à première vue » est activée
Cliquez sur Démarrer, Paramètres. (Ou appuyez sur WinKey + i)
Dans la page Paramètres, cliquez sur Mise à jour et sécurité, puis sur Windows Defender.
Sois sûr que Protection basée sur le cloud et Soumission automatique d'échantillons les paramètres sont activés.
Lorsque la protection cloud « Bloquer à première vue » de Windows Defender et les options de soumission d'échantillons sont activées dans les paramètres de Windows Defender, si le système rencontre un fichier suspect qui passe par ailleurs la détection basée sur les signatures, Defender envoie les métadonnées du fichier suspect au cloud arrière-plan. Notez que le cloud ne demande pas toujours l'intégralité du fichier.
Les machines du backend cloud analysent les métadonnées, en utilisant les différentes logiques, la réputation d'URL et les données de télémétrie pour déterminer si le fichier est un logiciel malveillant.
Par exemple, si le nom du fichier malveillant correspond au nom d'un module Windows principal, le backend cloud vérifie la signature numérique du module. S'il n'est pas signé ou signé par Microsoft et que sa « classification » est un logiciel malveillant (avec un niveau de « confiance » de 85 %), alors le cloud détermine que le fichier est un logiciel malveillant.
Les évaluations de « Classification » et de « confiance » qui constituent la partie la plus importante de l'analyse du backend, sont obtenues grâce au modèle d'apprentissage automatique.
Si le backend cloud n'obtient aucun verdict, il demande l'intégralité du fichier pour une analyse détaillée. Jusqu'à ce que le fichier soit téléchargé et que le cloud en confirme la réception, Windows Defender verrouille le fichier et ne permet pas de s'exécuter sur le client. C'est un changement clé que l'équipe Windows Defender a apporté dans la mise à jour anniversaire de Windows 10 (v1607).
Auparavant, le fichier suspect était autorisé à s'exécuter pendant le téléchargement, de manière synchrone. Même avant la fin du téléchargement, le malware aurait fini de s'exécuter et s'est autodétruit.
Venant à la démo de l'équipe d'ingénierie de Windows Defender, deux scénarios ont été discutés. Dans le scénario 1, le backend cloud classe un fichier comme malware, uniquement en fonction des métadonnées. L'appareil n°1 avec la protection cloud désactivée est infecté lors de l'exécution du fichier. Et l'appareil n°2 avec la protection cloud activée est instantanément protégé.
Dans le scénario 2, le premier utilisateur exécute un malware inconnu. Le cloud n'a atteint aucun verdict sur la base des métadonnées, et donc l'intégralité du fichier a été automatiquement soumise.
L'heure de soumission était à 19:48:59 heures - le backend a terminé l'analyse automatisée à 19:49:01 heures (environ 2 secondes à partir du moment où le téléchargement a atteint le backend cloud) et a déterminé que le fichier était un logiciel malveillant.
À partir du moment même, Windows Defender bloquerait toute rencontre future de ce fichier, protégeant ainsi des millions d'autres appareils sur lesquels la protection basée sur le cloud Windows Defender est activée.
Microsoft a également un site de test nommé Terrain d'essai de Windows Defender où vous pouvez vérifier l'efficacité de la protection cloud de Defender en téléchargeant des exemples.
Bien que la deuxième démo n'ait pas réussi en raison de problèmes de connectivité avec le cloud, dans l'ensemble, c'est un outil utile. présentation qui explique l'importance de la protection basée sur le cloud « bloquer à première vue » de Windows Defender caractéristique. Si vous aviez désactivé la fonctionnalité, je suppose que vous aurez maintenant une seconde réflexion.
Références & Crédits
Activez la fonction Bloquer à la première vue pour détecter les logiciels malveillants en quelques secondes
Découvrez la protection instantanée de Windows Defender | Microsoft Ignite 2016 | Canal 9
Une petite demande: si vous avez aimé ce post, merci de le partager ?
Un "minuscule" partage de votre part aiderait beaucoup à la croissance de ce blog. Quelques bonnes suggestions :- Épinglez-le !
- Partagez-le sur votre blog préféré + Facebook, Reddit
- Tweetez-le !