Windows Defender eller Microsofts anti-malware-plattform skyddar hemdatorer, servrar och onlinetjänster som Office 365. Med rikedomen av hotintelligens och telemetridata är Defenders molnbackend en häpnadsväckande skyddstjänst för skadlig programvara.
När en ny skadlig programvara dyker upp i naturen kan det ta timmar för Microsofts anti-malware-team (eller något annat anti-virus eller anti-malware företag för den delen) för att analysera, reverse engineering och utföra skadlig detonation av filen innan den kan släppa en signatur uppdatering. Och för att inte tala om QC som signaturuppdateringen måste passera.
När det gäller skydd mot skadlig kod går det inte att förneka det faktum att signaturbaserat skydd är utmärkt. Men det räcker inte, eftersom det kanske inte alltid hjälper - särskilt i fallet med helt ny eller okänd skadlig programvara. Enligt Microsofts rapport när en ny skadlig programvara dyker upp, är 30 % av datorerna infekterade inom de första fyra timmarna. Signaturuppdateringarna kommer vanligtvis timmar senare.
Windows Defenders robusta molnbaserade skydd, å andra sidan, använder heuristik, maskininlärningsmodell och gör detaljerad analys i backend för att avgöra om en fil är skadlig programvara.
Windows Defender molnbaserat skydd eller "blockera vid första ögonkastet"-funktionen är som standard aktiverad. Om du har stängt av molnskyddsalternativet i Windows Defender på grund av "integritetsproblem", är det bättre titta på demon från Windows Defender Engineering-teamet, som visar hur effektivt molnskydd kan vara.
Se till att "Blockera vid första ögonkastet" molnskydd är aktiverat
Klicka på Start, Inställningar. (Eller tryck på WinKey + i)
På sidan Inställningar klickar du på Uppdatera och säkerhet och sedan på Windows Defender.
Se till att Molnbaserat skydd och Automatisk provinlämning inställningar är aktiverade.
När Windows Defenders "Blockera vid första ögonkastet" molnskydd och alternativ för inlämning av exempel är aktiverade i Windows Defender-inställningar, om systemet stöter på en misstänkt fil som annars klarar signaturbaserad upptäckt, skickar Defender metadata för den misstänkta filen till molnet backend. Observera att molnet inte alltid begär hela filen.
Maskinerna i molnets backend analyserar metadata och använder sig av olika logiker, URL-rykte och telemetridata för att avgöra om filen är skadlig programvara.
Till exempel, om filnamnet för skadlig programvara matchar namnet på en kärnmodul i Windows, kontrollerar molnets backend modulens digitala signatur. Om den är osignerad eller inte signerad av Microsoft, och dess "klassificering" är skadlig programvara (med "konfidensnivå" 85 %), avgör molnet att filen är skadlig.
Bedömningarna ”Klassificering” och ”förtroende” som utgör den viktigaste delen av backend-analysen erhålls genom maskininlärningsmodellen.
Om molnets backend inte kommer med någon dom, begär den hela filen för en detaljerad analys. Tills filen laddas upp och molnet bekräftar mottagandet av densamma, låser Windows Defender filen och tillåter inte att den körs på klienten. Det är en viktig förändring som Windows Defender-teamet har gjort i Windows 10 Anniversary Update (v1607).
Tidigare fick den misstänkta filen köras medan uppladdningen pågick, synkront. Redan innan uppladdningen slutfördes skulle den skadliga programvaran ha slutat köra och självförstört sig själv.
När vi kommer till Windows Defender Engineering-teamets demo diskuterades två scenarier. I scenario 1 klassificerar molnets backend en fil som skadlig programvara, endast baserat på metadata. Enhet #1 med molnskydd avstängt, infekteras när filen körs. Och enhet #2 med molnskydd på, skyddas omedelbart.
I scenario 2 kör den första användaren en okänd skadlig programvara. Molnet nådde ingen dom baserat på metadata, och därmed skickades hela filen automatiskt.
Inlämningstiden var 19:48:59 timmar – backend slutförde den automatiska analysen 19:49:01 timmar (~2 sekunder från det att uppladdningen träffade molnets backend) och fastställde att filen var skadlig.
Från själva ögonblicket skulle Windows Defender blockera alla framtida möten med den filen och på så sätt skydda miljontals andra enheter som har Windows Defender molnbaserat skydd aktiverat.
Microsoft har också en testsida som heter Windows Defender Testground där du kan kontrollera effektiviteten av Defenders molnskydd genom att ladda upp prover.
Även om den andra demon inte lyckades på grund av vissa anslutningsproblem med molnet, är det totalt sett en användbar presentation som förklarar vikten av Windows Defenders "blockera vid första ögonkastet" molnbaserade skydd funktion. Om du hade stängt av funktionen antar jag att du nu har en andra tanke.
Referenser och krediter
Aktivera funktionen Blockera vid första ögonkastet för att upptäcka skadlig programvara inom några sekunder
Utforska Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanal 9
En liten begäran: Om du gillade det här inlägget, vänligen dela detta?
En "liten" andel från dig skulle verkligen hjälpa mycket med den här bloggens tillväxt. Några bra förslag:- Fäst det!
- Dela den till din favoritblogg + Facebook, Reddit
- Tweet det!