Защитник Windows или платформа Microsoft для защиты от вредоносных программ защищает домашние компьютеры, серверы и онлайн-сервисы, такие как Office 365. Облачный бэкэнд Defender, обладающий богатым набором данных об угрозах и телеметрии, представляет собой потрясающую службу защиты от вредоносных программ.
Когда новое вредоносное ПО появляется в свободном доступе, команда Microsoft по борьбе с вредоносным ПО (или любой другой антивирус или средство защиты от вредоносного ПО может занять несколько часов). компании) для анализа, реинжиниринга и детонации файла вредоносным ПО, прежде чем он сможет выпустить подпись Обновить. И, не говоря уже о QC, обновление подписи должно пройти.
Что касается защиты от вредоносных программ, нельзя отрицать тот факт, что защита на основе сигнатур имеет первостепенное значение. Но этого недостаточно, так как это не всегда может помочь, особенно в случае совершенно нового или неизвестного вредоносного ПО. Согласно отчету Microsoft, когда появляется новое вредоносное ПО, 30% компьютеров заражаются в течение первых четырех часов. Обновления подписи обычно приходят через несколько часов.
С другой стороны, надежная облачная защита Защитника Windows использует эвристику, модель машинного обучения и выполняет подробный анализ на сервере, чтобы определить, является ли файл вредоносным.
Облачная защита Защитника Windows или функция «блокировка с первого взгляда» включена по умолчанию. Если вы отключили опцию облачной защиты в Защитнике Windows из-за проблем с конфиденциальностью, вам лучше посмотрите демонстрацию от команды разработчиков Защитника Windows, которая показывает, насколько эффективной может быть облачная защита.
Убедитесь, что включена облачная защита «Блокировать с первого взгляда».
Нажмите Пуск, Настройки. (Или нажмите WinKey + i)
На странице настроек нажмите «Обновление и безопасность», а затем «Защитник Windows».
Убедись в том, что Облачная защита и Автоматическая отправка образцов настройки включены.
Когда в настройках Защитника Windows включены облачная защита Защитника Windows «Блокировать с первого взгляда» и параметры отправки образцов, если система обнаруживает подозрительный файл, который в противном случае проходит проверку на основе сигнатур, Защитник отправляет метаданные подозрительного файла в облако бэкэнд. Обратите внимание, что облако не всегда запрашивает весь файл.
Машины на облачном сервере анализируют метаданные, используя различные логики, репутацию URL-адресов и данные телеметрии, чтобы определить, является ли файл вредоносным.
Например, если имя файла вредоносной программы совпадает с именем основного модуля Windows, облачный сервер проверяет цифровую подпись модуля. Если он не подписан или не подписан Microsoft, и если он «классифицируется» как вредоносное ПО (с уровнем «достоверности» 85%), то облако определяет, что файл является вредоносным.
Оценки «Классификация» и «достоверность», которые составляют наиболее важную часть внутреннего анализа, получаются с помощью модели машинного обучения.
В случае, если облачный бэкэнд не выносит вердикта, он запрашивает весь файл для подробного анализа. Пока файл не будет загружен и облако не подтвердит его получение, Защитник Windows блокирует файл и не разрешает запуск на клиенте. Это ключевое изменение, внесенное командой Защитника Windows в юбилейном обновлении Windows 10 (v1607).
Ранее подозрительный файл разрешался синхронно во время загрузки. Даже до завершения загрузки вредоносная программа завершила бы свою работу и самоуничтожилась.
Переходя к демонстрации команды разработчиков Защитника Windows, обсуждались два сценария. В сценарии 1 облачный сервер классифицирует файл как вредоносное ПО только на основе метаданных. Устройство №1 с отключенной облачной защитой заражается при запуске файла. А устройство №2 с включенной облачной защитой мгновенно защищается.
В сценарии 2 первый пользователь запускает неизвестное вредоносное ПО. Облако не вынесло вердикта на основе метаданных, и поэтому был автоматически отправлен весь файл.
Время отправки было в 19:48:59 часов - серверная часть завершила автоматический анализ в 19:49:01 часов (~ 2 секунды с момента загрузки в облачную службу) и определила, что файл является вредоносным.
С самого момента Защитник Windows будет блокировать любые будущие встречи с этим файлом, таким образом защищая миллионы других устройств, на которых включена облачная защита Защитника Windows.
У Microsoft также есть тестовый сайт под названием Тестовая площадка Защитника Windows где вы можете проверить эффективность облачной защиты Defender, загрузив образцы.
Хотя вторая демонстрация не удалась из-за некоторых проблем с подключением к облаку, в целом она полезна презентация, в которой объясняется важность облачной защиты «блокировка с первого взгляда» в Защитнике Windows. особенность. Если бы вы отключили эту функцию, я думаю, теперь у вас есть вторая мысль.
Ссылки и кредиты
Включите функцию блокировки с первого взгляда, чтобы обнаруживать вредоносное ПО за считанные секунды
Изучите мгновенную защиту Защитника Windows | Microsoft Ignite 2016 | Канал 9
Одна небольшая просьба: если вам понравился этот пост, поделитесь, пожалуйста, этим?
Одна "крошечная" публикация от вас серьезно помогла бы росту этого блога. Несколько отличных предложений:- Приколи это!
- Поделитесь этим в своем любимом блоге + Facebook, Reddit
- Напишите об этом в Твиттере!