Windows Defender lub platforma Microsoft chroniąca przed złośliwym oprogramowaniem chroni komputery domowe, serwery i usługi online, takie jak Office 365. Dzięki bogactwu informacji o zagrożeniach i danych telemetrycznych backend Defender w chmurze jest zdumiewającą usługą ochrony przed złośliwym oprogramowaniem.
![blok obrońcy na pierwszy rzut oka](/f/d74ed7aefe8c0a8ae5888af125608732.png)
Gdy nowe złośliwe oprogramowanie pojawi się na wolności, zespół firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem (lub inne oprogramowanie antywirusowe lub chroniące przed złośliwym oprogramowaniem może zająć wiele godzin). firmy o to chodzi) w celu analizy, inżynierii wstecznej i przeprowadzenia detonacji złośliwego pliku, zanim będzie mógł opublikować sygnaturę aktualizacja. Nie wspominając już o kontroli jakości, przez którą musi przejść aktualizacja podpisu.
Jeśli chodzi o ochronę przed złośliwym oprogramowaniem, nie można zaprzeczyć, że ochrona oparta na sygnaturach jest najważniejsza. Ale to nie wystarczy, ponieważ nie zawsze może pomóc — zwłaszcza w przypadku zupełnie nowego lub nieznanego złośliwego oprogramowania. Zgodnie z raportem Microsoftu, gdy pojawia się nowe złośliwe oprogramowanie, 30% komputerów jest zainfekowanych w ciągu pierwszych czterech godzin. Aktualizacje podpisów zwykle przychodzą kilka godzin później.
![blok obrońcy na pierwszy rzut oka](/f/f7f04b6032eda7cf76b50d9fb9f90a46.png)
Z drugiej strony solidna ochrona w chmurze Windows Defender wykorzystuje heurystykę, model uczenia maszynowego i przeprowadza szczegółową analizę na zapleczu, aby określić, czy plik jest złośliwym oprogramowaniem.
Ochrona w chmurze Windows Defender lub funkcja „blokuj od pierwszego wejrzenia” jest domyślnie włączona. Jeśli wyłączyłeś opcję ochrony w chmurze w Windows Defender z powodu obaw o „prywatność”, lepiej obejrzyj demonstrację zespołu inżynierów Windows Defender, która pokazuje, jak skuteczna może być ochrona w chmurze.
Upewnij się, że ochrona w chmurze „Blokuj od pierwszego wejrzenia” jest włączona
Kliknij Start, Ustawienia. (Lub naciśnij WinKey + i)
Na stronie Ustawienia kliknij Aktualizacja i zabezpieczenia, a następnie Windows Defender.
Upewnij się, że Ochrona oparta na chmurze oraz Automatyczne przesyłanie próbek ustawienia są włączone.
Gdy ochrona chmury „Blokuj od pierwszego wejrzenia” w programie Windows Defender i opcje przesyłania próbek są włączone w ustawieniach programu Windows Defender, jeśli system napotka podejrzany plik, który w innym przypadku przejdzie wykrywanie oparte na sygnaturach, Defender wysyła metadane podejrzanego pliku do chmury zaplecze. Pamiętaj, że chmura nie zawsze żąda całego pliku.
Maszyny w zapleczu w chmurze analizują metadane, korzystając z różnych logik, reputacji adresów URL i danych telemetrycznych, aby określić, czy plik jest złośliwym oprogramowaniem.
Na przykład, jeśli nazwa pliku szkodliwego oprogramowania jest zgodna z nazwą podstawowego modułu systemu Windows, zaplecze w chmurze sprawdza podpis cyfrowy modułu. Jeśli nie jest podpisany lub nie jest podpisany przez Microsoft, a jego „klasyfikacja” to złośliwe oprogramowanie (z poziomem „ufności” 85%), chmura określa, że plik jest złośliwym oprogramowaniem.
Oceny „Klasyfikacja” i „Zaufanie”, które stanowią najważniejszą część analizy zaplecza, są uzyskiwane poprzez model uczenia maszynowego.
W przypadku, gdy backend w chmurze nie wyda żadnego werdyktu, prosi o szczegółową analizę całego pliku. Dopóki plik nie zostanie przesłany, a chmura potwierdzi jego odbiór, program Windows Defender blokuje plik i nie pozwala na uruchomienie na kliencie. To kluczowa zmiana, którą zespół Windows Defender wprowadził w rocznicowej aktualizacji systemu Windows 10 (v1607).
Wcześniej podejrzany plik mógł działać synchronicznie w trakcie przesyłania. Jeszcze przed zakończeniem przesyłania złośliwe oprogramowanie zakończyłoby swoje działanie i samozniszczyłoby się.
W ramach demonstracji zespołu inżynierów Windows Defender omówiono dwa scenariusze. W scenariuszu 1 zaplecze w chmurze klasyfikuje plik jako złośliwe oprogramowanie tylko na podstawie metadanych. Urządzenie nr 1 z wyłączoną ochroną w chmurze zostaje zainfekowane podczas uruchamiania pliku. A urządzenie nr 2 z włączoną ochroną w chmurze jest natychmiast chronione.
W scenariuszu 2 pierwszy użytkownik uruchamia nieznane złośliwe oprogramowanie. Chmura nie wydała żadnego werdyktu na podstawie metadanych, w związku z czym cały plik został przesłany automatycznie.
Czas przesyłania to godzina 19:48:59 – backend zakończył automatyczną analizę o godzinie 19:49:01 (około 2 sekundy od momentu, gdy przesłanie trafiło do backendu w chmurze) i ustalił, że plik jest złośliwym oprogramowaniem.
Od samego początku program Windows Defender blokował wszelkie przyszłe napotkania tego pliku, chroniąc w ten sposób miliony innych urządzeń, które mają włączoną ochronę opartą na chmurze Windows Defender.
Microsoft ma również witrynę testową o nazwie Pole testowe Windows Defender gdzie możesz sprawdzić skuteczność ochrony chmury Defendera, przesyłając próbki.
Chociaż drugie demo nie powiodło się z powodu pewnych problemów z łącznością z chmurą, ogólnie jest przydatne prezentacja wyjaśniająca znaczenie ochrony w chmurze „blokującej od pierwszego wejrzenia” w programie Windows Defender funkcja. Jeśli wyłączyłeś tę funkcję, myślę, że teraz będziesz miał drugą myśl.
Referencje i kredyty
Włącz funkcję Blokuj od pierwszego wejrzenia, aby wykryć złośliwe oprogramowanie w ciągu kilku sekund
Poznaj natychmiastową ochronę Windows Defender | Microsoft Ignite 2016 | Kanał 9
Jedna mała prośba: Jeśli podobał Ci się ten post, udostępnij go?
Jeden „mały” udział od ciebie bardzo pomógłby w rozwoju tego bloga. Kilka świetnych sugestii:- Przypiąć!
- Udostępnij to na swoim ulubionym blogu + Facebooku, Reddit
- Tweetuj to!