Windows Defender หรือแพลตฟอร์มป้องกันมัลแวร์ของ Microsoft ปกป้องคอมพิวเตอร์ที่บ้าน เซิร์ฟเวอร์ และบริการออนไลน์ เช่น Office 365 ด้วยความมั่งคั่งของข้อมูลภัยคุกคามและข้อมูลทางไกล แบ็กเอนด์บนคลาวด์ของ Defender เป็นบริการป้องกันมัลแวร์ที่น่าประหลาดใจ
เมื่อมัลแวร์ใหม่ปรากฏขึ้นในป่า อาจใช้เวลาหลายชั่วโมงสำหรับทีมป้องกันมัลแวร์ของ Microsoft (หรือโปรแกรมป้องกันไวรัสหรือโปรแกรมป้องกันมัลแวร์อื่นๆ บริษัทสำหรับเรื่องนั้น) เพื่อวิเคราะห์ วิศวกรรมย้อนกลับ และดำเนินการจุดชนวนมัลแวร์ของไฟล์ก่อนที่จะสามารถปล่อยลายเซ็นได้ อัปเดต. และไม่ต้องพูดถึง QC ว่าการอัปเดตลายเซ็นต้องผ่าน
เท่าที่เกี่ยวข้องกับการป้องกันมัลแวร์ ไม่มีการปฏิเสธความจริงที่ว่าการป้องกันตามลายเซ็นนั้นมีความสำคัญ แต่นั่นยังไม่เพียงพอ เนื่องจากอาจไม่ได้ช่วยเสมอไป โดยเฉพาะในกรณีของมัลแวร์ใหม่หรือที่ไม่รู้จัก ตามรายงานของ Microsoft เมื่อมีมัลแวร์ใหม่ปรากฏขึ้น 30% ของคอมพิวเตอร์ติดไวรัสภายในสี่ชั่วโมงแรก การอัปเดตลายเซ็นมักจะมาหลายชั่วโมงในภายหลัง
ในทางกลับกัน การป้องกันบนคลาวด์ที่แข็งแกร่งของ Windows Defender ใช้ฮิวริสติก โมเดลการเรียนรู้ของเครื่อง และทำการวิเคราะห์โดยละเอียดที่แบ็กเอนด์เพื่อพิจารณาว่าไฟล์นั้นเป็นมัลแวร์หรือไม่
การป้องกันบนคลาวด์ของ Windows Defender หรือคุณลักษณะ "บล็อกตั้งแต่แรกเห็น" ถูกเปิดใช้งานตามค่าเริ่มต้น หากคุณปิดตัวเลือกการป้องกันระบบคลาวด์ใน Windows Defender เนื่องจากข้อกังวลด้าน "ความเป็นส่วนตัว" จะดีกว่า ชมการสาธิตโดยทีมวิศวกรของ Windows Defender ซึ่งแสดงให้เห็นว่าการป้องกันระบบคลาวด์มีประสิทธิภาพเพียงใด
ตรวจสอบให้แน่ใจว่าเปิดใช้งานการป้องกันระบบคลาวด์ "บล็อกตั้งแต่แรกเห็น" อยู่
คลิกเริ่ม การตั้งค่า (หรือกด WinKey + i)
ในหน้า การตั้งค่า ให้คลิก อัปเดตและความปลอดภัย แล้วคลิก Windows Defender
ทำให้แน่ใจ การป้องกันบนคลาวด์ และ ส่งตัวอย่างอัตโนมัติ เปิดใช้งานการตั้งค่าแล้ว
เมื่อการป้องกันระบบคลาวด์ "บล็อกตั้งแต่แรกเห็น" ของ Windows Defender และตัวเลือกการส่งตัวอย่างถูกเปิดใช้งานในการตั้งค่า Windows Defender หากระบบ พบไฟล์ที่น่าสงสัยซึ่งผ่านการตรวจหาตามลายเซ็น, Defender ส่งข้อมูลเมตาของไฟล์ที่น่าสงสัยไปยัง cloud แบ็กเอนด์ โปรดทราบว่าระบบคลาวด์ไม่ได้ร้องขอไฟล์ทั้งหมดเสมอไป
เครื่องที่แบ็กเอนด์ระบบคลาวด์จะวิเคราะห์ข้อมูลเมตา โดยใช้ตรรกะต่างๆ ชื่อเสียงของ URL และข้อมูลการวัดทางไกลเพื่อตรวจสอบว่าไฟล์นั้นเป็นมัลแวร์หรือไม่
ตัวอย่างเช่น หากชื่อไฟล์มัลแวร์ตรงกับชื่อของโมดูล Windows หลัก แบ็กเอนด์ระบบคลาวด์จะตรวจสอบลายเซ็นดิจิทัลของโมดูล หากไม่ได้ลงนามหรือไม่ได้ลงนามโดย Microsoft และ "การจัดประเภท" เป็นมัลแวร์ (ที่มี "ความมั่นใจ" ระดับ 85%) ระบบคลาวด์จะพิจารณาว่าไฟล์นั้นเป็นมัลแวร์
การประเมิน "การจัดประเภท" และ "ความมั่นใจ" ซึ่งเป็นส่วนที่สำคัญที่สุดของการวิเคราะห์แบ็กเอนด์ ได้มาจากโมเดลการเรียนรู้ของเครื่อง
ในกรณีที่ระบบแบ็กเอนด์ของระบบคลาวด์ไม่มีคำตัดสินใดๆ จะมีการขอให้ทำการวิเคราะห์โดยละเอียดทั้งไฟล์ จนกว่าไฟล์จะถูกอัปโหลดและคลาวด์จะยืนยันการรับไฟล์นั้น Windows Defender จะล็อกไฟล์และไม่อนุญาตให้ทำงานบนไคลเอ็นต์ นั่นเป็นการเปลี่ยนแปลงที่สำคัญที่ทีม Windows Defender ทำในการอัปเดตในโอกาสวันครบรอบของ Windows 10 (v1607)
ก่อนหน้านี้ ไฟล์ที่น่าสงสัยสามารถเรียกใช้ได้ในขณะที่กำลังอัปโหลดแบบซิงโครนัส ก่อนที่การอัปโหลดจะเสร็จสิ้น มัลแวร์จะทำงานเสร็จและทำลายตัวเองเสียด้วยซ้ำ
ในการสาธิตของทีมวิศวกรรม Windows Defender มีสองสถานการณ์ที่กล่าวถึง ในสถานการณ์ที่ 1 แบ็กเอนด์ระบบคลาวด์จัดประเภทไฟล์เป็นมัลแวร์ โดยยึดตามข้อมูลเมตาเท่านั้น อุปกรณ์ #1 ที่ปิดการป้องกันระบบคลาวด์ ติดไวรัสเมื่อเรียกใช้ไฟล์ และอุปกรณ์ #2 ที่เปิดใช้งานการป้องกันระบบคลาวด์จะได้รับการป้องกันทันที
ในสถานการณ์ที่ 2 ผู้ใช้รายแรกเรียกใช้มัลแวร์ที่ไม่รู้จัก ระบบคลาวด์ไม่มีคำตัดสินตามข้อมูลเมตา ดังนั้นจึงส่งไฟล์ทั้งหมดโดยอัตโนมัติ
เวลาที่ส่งคือเวลา 19:48:59 น. – แบ็กเอนด์เสร็จสิ้นการวิเคราะห์อัตโนมัติเมื่อเวลา 19:49:01 น. (~2 วินาทีนับจากเวลาที่อัปโหลดไปถึงแบ็กเอนด์คลาวด์) และระบุว่าไฟล์นั้นเป็นมัลแวร์
นับจากนี้เป็นต้นไป Windows Defender จะบล็อกการเผชิญหน้าของไฟล์นั้นในอนาคต ซึ่งจะช่วยป้องกันอุปกรณ์อื่นๆ นับล้านที่เปิดใช้งานการป้องกันบนคลาวด์ของ Windows Defender
Microsoft ยังมีไซต์ทดสอบชื่อ ลานทดสอบ Windows Defender ซึ่งคุณสามารถตรวจสอบประสิทธิภาพของการปกป้องระบบคลาวด์ของ Defender ได้ด้วยการอัปโหลดตัวอย่าง
แม้ว่าการสาธิตครั้งที่สองจะไม่ประสบความสำเร็จเนื่องจากปัญหาการเชื่อมต่อกับระบบคลาวด์ แต่โดยรวมก็มีประโยชน์ การนำเสนอที่อธิบายถึงความสำคัญของการป้องกันบนคลาวด์ "บล็อกตั้งแต่แรกเห็น" ของ Windows Defender ลักษณะเฉพาะ. หากคุณปิดคุณสมบัตินี้ไป ฉันเดาว่าตอนนี้คุณคงจะมีความคิดใหม่
ข้อมูลอ้างอิงและเครดิต
เปิดใช้งานคุณสมบัติ Block at First Sight เพื่อตรวจจับมัลแวร์ภายในไม่กี่วินาที
สำรวจการป้องกันทันทีของ Windows Defender | Microsoft Ignite 2016 | ช่อง 9
คำขอเล็กน้อย: หากคุณชอบโพสต์นี้ โปรดแชร์สิ่งนี้
หนึ่งส่วนแบ่ง "เล็กน้อย" จากคุณจะช่วยอย่างมากในการเติบโตของบล็อกนี้ คำแนะนำที่ดีบางประการ:- ขามัน!
- แชร์ไปยังบล็อกที่คุณชื่นชอบ + Facebook, Reddit
- ทวีตมัน!