Ako funguje funkcia ochrany cloudu „Blokovať na prvý pohľad“ v programe Windows Defender?

Windows Defender alebo antimalvérová platforma spoločnosti Microsoft chráni domáce počítače, servery a online služby, ako je Office 365. S množstvom informácií o hrozbách a telemetrických údajov je cloudový backend Defender úžasnou službou ochrany pred malvérom.

obranca blok na prvý pohľad

Keď sa vo voľnej prírode objaví nový malvér, môže to trvať niekoľko hodín, kým tím Microsoft pre boj proti malvéru (alebo akýkoľvek iný antivírusový alebo antimalvérový spoločnosť) analyzovať, spätne analyzovať a vykonať malvérovú detonáciu súboru predtým, ako môže uvoľniť podpis aktualizovať. A nehovoriac o QC, cez ktoré musí prejsť aktualizácia podpisu.

Pokiaľ ide o ochranu pred škodlivým softvérom, nemožno poprieť skutočnosť, že ochrana založená na podpisoch je prvoradá. To však nestačí, pretože to nemusí vždy pomôcť – najmä v prípade úplne nového alebo neznámeho škodlivého softvéru. Podľa správy spoločnosti Microsoft, keď sa objaví nový malvér, 30 % počítačov je infikovaných počas prvých štyroch hodín. Aktualizácie podpisov zvyčajne prichádzajú o niekoľko hodín neskôr.

obranca blok na prvý pohľad

Robustná cloudová ochrana programu Windows Defender na druhej strane využíva heuristiku, model strojového učenia a vykonáva podrobnú analýzu na backende, aby zistila, či je súbor malvér.

Cloudová ochrana Windows Defender alebo funkcia „blokovať na prvý pohľad“ je predvolene povolená. Ak ste vypli možnosť ochrany v cloude v programe Windows Defender z dôvodu obáv o „súkromie“, radšej pozrite si ukážku tímu Windows Defender Engineering, ktorá ukazuje, aká účinná môže byť cloudová ochrana.

Uistite sa, že je povolená cloudová ochrana „Blokovať na prvý pohľad“.

Kliknite na Štart, Nastavenia. (Alebo stlačte WinKey + i)

Na stránke Nastavenia kliknite na položku Aktualizácia a zabezpečenie a potom na položku Windows Defender.

Uistite sa, že Cloudová ochrana a Automatické odoslanie vzorky nastavenia sú povolené.

cloudová ochrana obrancu

Keď je v nastaveniach programu Windows Defender povolená cloudová ochrana programu Windows Defender „Blokovať na prvý pohľad“ a možnosti odosielania vzoriek, ak systém narazí na podozrivý súbor, ktorý inak prechádza detekciou na základe podpisu, Defender odošle metadáta podozrivého súboru do cloudu backend. Upozorňujeme, že cloud nie vždy vyžaduje celý súbor.

Počítače v cloudovom backende analyzujú metadáta, pričom využívajú rôzne logiky, reputáciu URL a telemetrické údaje na určenie, či je súbor malvér.

Ak sa napríklad názov súboru škodlivého softvéru zhoduje s názvom základného modulu systému Windows, cloudový backend skontroluje digitálny podpis modulu. Ak je nepodpísaný alebo nepodpísaný spoločnosťou Microsoft a jeho „klasifikácia“ je malvér (s úrovňou „spoľahlivosti“ 85 %), cloud určí, že ide o malvér.

cloudová ochrana obrancu

Hodnotenia „klasifikácia“ a „dôvera“, ktoré tvoria najdôležitejšiu časť backendovej analýzy, sa získavajú prostredníctvom modelu strojového učenia.

V prípade, že cloudový backend neprinesie žiadny verdikt, vyžiada si celý súbor na podrobnú analýzu. Kým sa súbor neodovzdá a cloud nepotvrdí jeho prijatie, Windows Defender súbor uzamkne a nepovolí spustenie na klientovi. Toto je kľúčová zmena, ktorú tím programu Windows Defender vykonal v aktualizácii Windows 10 Anniversary Update (v1607).

Predtým bolo možné, aby sa podozrivý súbor spúšťal počas nahrávania synchrónne. Ešte pred dokončením nahrávania by malvér skončil spustený a sám sa zničil.

V ukážke tímu Windows Defender Engineering sa diskutovalo o dvoch scenároch. V scenári 1 cloudový backend klasifikuje súbor ako malvér iba na základe metadát. Zariadenie #1 s vypnutou cloudovou ochranou sa infikuje pri spustení súboru. A zariadenie #2 so zapnutou cloudovou ochranou je okamžite chránené.

V scenári 2 prvý používateľ spustí neznámy malvér. Cloud nedosiahol žiadny verdikt na základe metadát, a preto bol celý súbor automaticky odoslaný.

Čas odoslania bol o 19:48:59 hodín – backend dokončil automatickú analýzu o 19:49:01 hodín (približne 2 sekundy od času, kedy sa nahranie dostalo do cloudového backendu) a určilo, že súbor je malvér.

Od chvíle, keď program Windows Defender zablokoval akékoľvek budúce stretnutia s týmto súborom, chránil tak milióny ďalších zariadení, ktoré majú povolenú cloudovú ochranu programu Windows Defender.

Microsoft má tiež pomenovanú testovaciu stránku Testovacie prostredie programu Windows Defender kde si môžete overiť účinnosť cloudovej ochrany Defender nahraním vzoriek.

Aj keď druhé demo neuspelo kvôli problémom s pripojením ku cloudu, celkovo je to užitočné prezentácia, ktorá vysvetľuje dôležitosť cloudovej ochrany „bloku na prvý pohľad“ programu Windows Defender vlastnosť. Ak ste túto funkciu vypli, myslím, že vás teraz napadne druhá myšlienka.

Referencie a kredity

Povoľte funkciu Blokovať na prvý pohľad, aby ste zistili malvér v priebehu niekoľkých sekúnd
Preskúmajte okamžitú ochranu programu Windows Defender | Microsoft Ignite 2016 | Kanál 9


Jedna malá prosba: Ak sa vám tento príspevok páčil, zdieľajte ho?

Jedno "drobné" zdieľanie od vás by vážne pomohlo rastu tohto blogu. Niekoľko skvelých návrhov:
  • Pripnúť!
  • Zdieľajte to na svojom obľúbenom blogu + Facebook, Reddit
  • Tweetujte!
Takže veľmi pekne ďakujem za podporu, môj čitateľ. Nezaberie vám to viac ako 10 sekúnd vášho času. Tlačidlá zdieľania sú nižšie. :)