A Windows Defender vagy a Microsoft kártevőirtó platformja védi az otthoni számítógépeket, kiszolgálókat és online szolgáltatásokat, például az Office 365-öt. A rengeteg fenyegetettségi intelligencia és telemetriai adat révén a Defender felhőalapú háttérrendszere elképesztő kártevő-védelmi szolgáltatás.
Amikor egy új rosszindulatú program megjelenik a természetben, órákba telhet a Microsoft kártevőirtó csapatának (vagy bármely más vírusirtónak vagy kártevőirtónak). cég), hogy elemezze, visszafejtse és végrehajtsa a fájl rosszindulatú felrobbantását, mielőtt az aláírást kiadhatna. frissítés. És a minőségellenőrzésről nem is beszélve, az aláírás frissítésének át kell mennie.
Ami a rosszindulatú programok elleni védelmet illeti, tagadhatatlan, hogy az aláírás-alapú védelem a legfontosabb. De ez nem elég, mert nem mindig segít – különösen vadonatúj vagy ismeretlen rosszindulatú programok esetén. A Microsoft jelentése szerint egy új rosszindulatú program megjelenésekor a számítógépek 30%-a megfertőződik az első négy órában. Az aláírásfrissítések általában órákkal később érkeznek.
A Windows Defender robusztus felhőalapú védelme viszont heurisztikát, gépi tanulási modellt használ, és részletes elemzést végez a háttérben annak megállapítására, hogy egy fájl rosszindulatú-e.
A Windows Defender felhőalapú védelem vagy „blokkolás első látásra” funkció alapértelmezés szerint engedélyezve van. Ha „adatvédelmi aggályok” miatt kikapcsolta a felhőalapú védelmet a Windows Defenderben, akkor jobb nézze meg a Windows Defender Engineering csapatának bemutatóját, amely bemutatja, milyen hatékony lehet a felhővédelem.
Győződjön meg arról, hogy a „Blokkolás első látásra” felhővédelem engedélyezve van
Kattintson a Start menü Beállítások pontjára. (Vagy nyomja meg a WinKey + i billentyűket)
A Beállítások oldalon kattintson a Frissítés és biztonság, majd a Windows Defender elemre.
Győződjön meg arról, hogy Felhő alapú védelem és Automatikus mintabeküldés beállítások engedélyezve vannak.
Ha a Windows Defender „Blokkolás első látásra” felhővédelmi és mintabeküldési beállításai engedélyezve vannak a Windows Defender beállításaiban, ha a rendszer gyanús fájllal találkozik, amely egyébként átmegy az aláírás alapú észlelésen, a Defender elküldi a gyanús fájl metaadatait a felhőbe backend. Vegye figyelembe, hogy a felhő nem mindig kéri le a teljes fájlt.
A felhő háttérben lévő gépek elemzik a metaadatokat, felhasználva a különféle logikákat, az URL-reputációt és a telemetriai adatokat annak megállapítására, hogy a fájl rosszindulatú-e.
Ha például a rosszindulatú program fájlneve megegyezik egy alapvető Windows-modul nevével, a felhő háttérrendszer ellenőrzi a modul digitális aláírását. Ha nincs aláírva, vagy a Microsoft nem írta alá, és a „besorolása” rosszindulatú program (85%-os „megbízhatósági” szinttel), akkor a felhő azt állapítja meg, hogy a fájl rosszindulatú.
A háttérelemzés legfontosabb részét képező „osztályozás” és „bizalom” értékelés a gépi tanulási modellen keresztül történik.
Abban az esetben, ha a felhő háttérrendszer nem hoz ítéletet, a teljes fájlt részletes elemzésre kéri. Amíg a fájl fel nem töltődik, és a felhő meg nem erősíti annak kézhezvételét, a Windows Defender zárolja a fájlt, és nem engedi futni az ügyfélen. Ez egy kulcsfontosságú változtatás, amelyet a Windows Defender csapata végrehajtott a Windows 10 évfordulós frissítésében (v1607).
Korábban a gyanús fájl futhatott a feltöltés közben, szinkronban. A rosszindulatú program még a feltöltés befejezése előtt befejezte volna a futást, és önmagát is megsemmisítette volna.
A Windows Defender Engineering csapatának bemutatójához két forgatókönyv került szóba. Az 1. forgatókönyvben a felhő háttérrendszer rosszindulatú programnak minősíti a fájlt, csak a metaadatok alapján. Az 1. számú eszköz, amelyen a felhővédelem ki van kapcsolva, a fájl futtatásakor megfertőződik. A Bekapcsolt felhővédelemmel rendelkező 2. számú eszköz pedig azonnal védett.
A 2. forgatókönyvben az első felhasználó egy ismeretlen rosszindulatú programot futtat. A felhő a metaadatok alapján nem hozott ítéletet, így a teljes fájl automatikusan elküldésre került.
A beküldés időpontja 19:48:59 volt – a háttérrendszer 19:49:01-kor fejezte be az automatizált elemzést (~2 másodperc attól az időponttól számítva, amikor a feltöltés elérte a felhő hátterét), és megállapította, hogy a fájl rosszindulatú.
A Windows Defender attól a pillanattól fogva blokkolja a fájl jövőbeli találkozását, így több millió olyan eszközt véd meg, amelyeken engedélyezve van a Windows Defender felhőalapú védelem.
A Microsoftnak van egy nevű tesztoldala is Windows Defender tesztkörnyezet ahol minták feltöltésével ellenőrizheti a Defender felhővédelmének hatékonyságát.
Bár a második demó a felhővel kapcsolatos kapcsolódási problémák miatt nem sikerült, összességében hasznos bemutató, amely elmagyarázza a Windows Defender „blokk első látásra” felhőalapú védelmének fontosságát funkció. Ha kikapcsolta volna a funkciót, azt hiszem, most meggondolja magát.
Referenciák és kreditek
Engedélyezze a Blokkolás első látásra funkciót a rosszindulatú programok másodperceken belüli észleléséhez
Fedezze fel a Windows Defender azonnali védelmet | Microsoft Ignite 2016 | 9. csatorna
Egy apró kérés: Ha tetszett a bejegyzés, kérlek oszd meg?
Egy "apró" megosztásod komolyan segítene ennek a blognak a növekedésében. Néhány nagyszerű javaslat:- Tűzd ki!
- Oszd meg kedvenc blogoddal + Facebook, Reddit
- Tweeteljen!