როგორ მუშაობს Windows Defender „პირველი ნახვით დაბლოკვა“ Cloud Protection ფუნქცია?

Windows Defender ან Microsoft-ის მავნე პროგრამების საწინააღმდეგო პლატფორმა იცავს სახლის კომპიუტერებს, სერვერებს და ონლაინ სერვისებს, როგორიცაა Office 365. საფრთხის დაზვერვისა და ტელემეტრიული მონაცემების სიმდიდრით, Defender's cloud backend არის განსაცვიფრებელი მავნე პროგრამების დაცვის სერვისი.

მცველის ბლოკი ერთი შეხედვით

როდესაც ახალი მავნე პროგრამა გამოჩნდება ბუნებაში, შეიძლება საათები დასჭირდეს Microsoft-ის მავნე პროგრამის გუნდს (ან სხვა ანტივირუსულ ან მავნე პროგრამას). კომპანია) გააანალიზოს, შეცვალოს ინჟინერი და შეასრულოს ფაილის მავნე პროგრამის აფეთქება, სანამ ის ხელმოწერის გამოშვებას შეძლებს განახლება. და, რომ აღარაფერი ვთქვათ QC-ზე, ხელმოწერის განახლებამ უნდა გაიაროს.

რაც შეეხება მავნე პროგრამების დაცვას, არ შეიძლება უარვყოთ ის ფაქტი, რომ ხელმოწერებზე დაფუძნებული დაცვა მთავარია. მაგრამ ეს საკმარისი არ არის, რადგან შეიძლება ყოველთვის არ დაგვეხმაროს – განსაკუთრებით ახალი ან უცნობი მავნე პროგრამის შემთხვევაში. Microsoft-ის ანგარიშის თანახმად, როდესაც ახალი მავნე პროგრამა გამოჩნდება, კომპიუტერების 30% ინფიცირდება პირველი ოთხი საათის განმავლობაში. ხელმოწერის განახლებები ჩვეულებრივ მოდის საათის შემდეგ.

მცველის ბლოკი ერთი შეხედვით

Windows Defender-ის ღრუბელზე დაფუძნებული ძლიერი დაცვა, მეორეს მხრივ, იყენებს ევრისტიკას, მანქანათმცოდნეობის მოდელს და აკეთებს დეტალურ ანალიზს უკანა პლანზე, რათა დაადგინოს არის თუ არა ფაილი მავნე პროგრამა.

Windows Defender ღრუბელზე დაფუძნებული დაცვა ან „დაბლოკვა ერთი შეხედვით“ ფუნქცია ნაგულისხმევად ჩართულია. თუ თქვენ გამორთეთ ღრუბლოვანი დაცვის ვარიანტი Windows Defender-ში „კონფიდენციალურობის“ შეშფოთების გამო, უმჯობესია უყურეთ Windows Defender Engineering გუნდის დემო ვერსიას, რომელიც აჩვენებს რამდენად ეფექტური შეიძლება იყოს ღრუბლოვანი დაცვა.

დარწმუნდით, რომ ჩართულია ღრუბლოვანი დაცვა „პირველი ნახვით დაბლოკვა“.

დააჭირეთ დაწყებას, პარამეტრები. (ან დააჭირეთ WinKey + i)

პარამეტრების გვერდზე დააწკაპუნეთ განახლება და უსაფრთხოება და შემდეგ Windows Defender.

Დარწმუნდი, რომ ღრუბელზე დაფუძნებული დაცვა და ნიმუშის ავტომატური წარდგენა პარამეტრები ჩართულია.

დამცველის ღრუბლის დაცვა

როდესაც Windows Defender-ის „დაბლოკვა ერთი შეხედვით“ ღრუბლოვანი დაცვის და ნიმუშის წარდგენის ვარიანტები ჩართულია Windows Defender-ის პარამეტრებში, თუ სისტემა ხვდება საეჭვო ფაილს, რომელიც სხვაგვარად გადის ხელმოწერებზე დაფუძნებულ გამოვლენას, Defender აგზავნის საეჭვო ფაილის მეტამონაცემებს ღრუბელში უკანა ნაწილი. გაითვალისწინეთ, რომ ღრუბელი ყოველთვის არ ითხოვს მთელ ფაილს.

ღრუბელში არსებული მანქანები აანალიზებენ მეტამონაცემებს, იყენებენ სხვადასხვა ლოგიკას, URL-ის რეპუტაციას და ტელემეტრიის მონაცემებს, რათა დადგინდეს, არის თუ არა ფაილი მავნე პროგრამა.

მაგალითად, თუ მავნე პროგრამის ფაილის სახელი ემთხვევა Windows-ის ძირითადი მოდულის სახელს, ღრუბელი ამოწმებს მოდულის ციფრულ ხელმოწერას. თუ ის ხელმოუწერელია ან არ არის ხელმოწერილი Microsoft-ის მიერ, და ეს არის „კლასიფიკაცია“ მავნე პროგრამაა („დარწმუნებული“ დონით 85%), მაშინ ღრუბელი განსაზღვრავს, რომ ფაილი მავნე პროგრამაა.

დამცველის ღრუბლის დაცვა

"კლასიფიკაციის" და "დარწმუნების" შეფასებები, რომლებიც შეადგენენ ფონური ანალიზის ყველაზე მნიშვნელოვან ნაწილს, მიიღება მანქანათმცოდნეობის მოდელის მეშვეობით.

იმ შემთხვევაში, თუ ღრუბელი გამოვა ვერდიქტის გარეშე, ის ითხოვს მთელ ფაილს დეტალური ანალიზისთვის. სანამ ფაილი აიტვირთება და ღრუბელი არ დაადასტურებს მის მიღებას, Windows Defender ბლოკავს ფაილს და არ იძლევა კლიენტზე გაშვების საშუალებას. ეს არის მთავარი ცვლილება, რომელიც Windows Defender-ის გუნდმა განახორციელა Windows 10-ის საიუბილეო განახლებაში (v1607).

ადრე, საეჭვო ფაილს ნებადართული ჰქონდა გაშვება, სანამ ატვირთვა მიმდინარეობდა, სინქრონულად. ატვირთვის დასრულებამდეც კი, მავნე პროგრამა დაასრულებდა მუშაობას და თვითონ განადგურდებოდა.

Windows Defender Engineering-ის გუნდის დემო ვერსიაზე მისვლისას განხილული იყო ორი სცენარი. სცენარში 1, ღრუბელი უკანა პლატფორმა კლასიფიცირებს ფაილს, როგორც მავნე პროგრამას, მხოლოდ მეტამონაცემების საფუძველზე. მოწყობილობა #1 ღრუბლოვანი დაცვით გამორთულია, ინფიცირდება ფაილის გაშვებისას. და მოწყობილობა #2 ღრუბლოვანი დაცვით ჩართული, მყისიერად დაცულია.

სცენარში 2, პირველი მომხმარებელი აწარმოებს უცნობ მავნე პროგრამას. ღრუბელმა ვერ მიაღწია ვერდიქტს მეტამონაცემების საფუძველზე და, ამრიგად, მთელი ფაილი ავტომატურად იქნა გაგზავნილი.

წარდგენის დრო იყო 19:48:59 საათზე - ბექენდმა დაასრულა ავტომატური ანალიზი 19:49:01 საათზე (~2 წამი იმ დროიდან, როცა ატვირთვა ღრუბელში მოხვდა) და დაადგინა, რომ ფაილი არის მავნე პროგრამა.

იმ მომენტიდანვე, Windows Defender დაბლოკავს ამ ფაილის მომავალ შეხვედრებს, რითაც დაიცავს მილიონობით სხვა მოწყობილობას, რომლებშიც ჩართულია Windows Defender ღრუბელზე დაფუძნებული დაცვა.

Microsoft-საც აქვს სატესტო საიტი სახელად Windows Defender Testground სადაც შეგიძლიათ შეამოწმოთ Defender-ის ღრუბლოვანი დაცვის ეფექტურობა ნიმუშების ატვირთვით.

მიუხედავად იმისა, რომ მეორე დემონსტრაცია ვერ მოხერხდა ღრუბელთან დაკავშირების გარკვეული პრობლემების გამო, მთლიანობაში ის სასარგებლოა პრეზენტაცია, რომელიც ხსნის Windows Defender-ის ღრუბელზე დაფუძნებული „ერთი შეხედვით დაბლოკვის“ მნიშვნელობას თვისება. თუ თქვენ გამორთეთ ფუნქცია, ვფიქრობ, ახლა მეორე ფიქრი გექნებათ.

ცნობები და კრედიტები

ჩართეთ ფუნქცია Block at First Sight, რათა აღმოაჩინოს მავნე პროგრამები წამებში
გამოიკვლიეთ Windows Defender Instant Protection | Microsoft Ignite 2016 | მე-9 არხი


ერთი პატარა მოთხოვნა: თუ მოგეწონათ ეს პოსტი, გთხოვთ გააზიაროთ?

თქვენგან ერთი "პატარა" გაზიარება სერიოზულად დაგეხმარება ამ ბლოგის ზრდაში. რამდენიმე შესანიშნავი წინადადება:
  • ჩამაგრება!
  • გააზიარეთ ის თქვენს საყვარელ ბლოგზე + Facebook, Reddit
  • ტვიტერში!
ასე რომ, დიდი მადლობა მხარდაჭერისთვის, ჩემო მკითხველო. თქვენი დროის 10 წამზე მეტი არ დასჭირდება. გაზიარების ღილაკები ზუსტად ქვემოთ არის. :)