Windows Defender або платформа Microsoft для захисту від шкідливих програм захищає домашні комп’ютери, сервери та онлайн-сервіси, такі як Office 365. Завдяки багатству даних аналізу загроз і телеметрії, хмарний сервер Defender — це вражаюча служба захисту від зловмисного програмного забезпечення.
Коли нове зловмисне програмне забезпечення з’являється в дикій природі, команда Microsoft із захисту від шкідливих програм (або будь-якого іншого антивірусного чи антивірусного програмного забезпечення) може зайняти години компанією) для аналізу, зворотного проектування та детонації файлу зловмисним програмним забезпеченням, перш ніж він зможе випустити підпис оновлення. І, не кажучи вже про контроль якості, через який має пройти оновлення підпису.
Що стосується захисту від шкідливого програмного забезпечення, не можна заперечувати той факт, що захист на основі сигнатур є першорядним. Але цього недостатньо, оскільки це не завжди може допомогти — особливо у випадку абсолютно нового чи невідомого шкідливого програмного забезпечення. Згідно зі звітом Microsoft, коли з’являється нове шкідливе програмне забезпечення, 30% комп’ютерів заражаються протягом перших чотирьох годин. Оновлення підпису зазвичай приходять через кілька годин.
З іншого боку, надійний хмарний захист Windows Defender використовує евристику, модель машинного навчання та детальний аналіз у серверній частині, щоб визначити, чи є файл зловмисним програмним забезпеченням.
Хмарний захист Windows Defender або функція «блокування з першого погляду» ввімкнено за замовчуванням. Якщо ви вимкнули параметр хмарного захисту в Windows Defender через проблеми «конфіденційності», вам краще перегляньте демонстрацію команди інженерів Windows Defender, яка показує, наскільки ефективним може бути захист хмари.
Переконайтеся, що хмарний захист «Блокувати з першого погляду» увімкнено
Натисніть Пуск, Налаштування. (Або натисніть WinKey + i)
На сторінці «Параметри» натисніть «Оновлення та безпека», а потім «Захисник Windows».
Переконайтеся в цьому Хмарний захист і Автоматична подача зразка налаштування увімкнено.
Якщо в Налаштуваннях Захисника Windows увімкнено хмарний захист «Блокувати з першого погляду» та параметри надсилання зразків, якщо система зустрічає підозрілий файл, який інакше проходить виявлення на основі сигнатур, Defender надсилає метадані підозрілого файлу в хмару бекенд. Зауважте, що хмара не завжди запитує весь файл.
Комп’ютери на серверній частині хмари аналізують метадані, використовуючи різні логіки, репутацію URL-адрес і дані телеметрії, щоб визначити, чи є файл зловмисним програмним забезпеченням.
Наприклад, якщо ім’я файлу зловмисного програмного забезпечення збігається з назвою основного модуля Windows, хмарний сервер перевіряє цифровий підпис модуля. Якщо він не підписаний або не підписаний Microsoft, і його «класифікація» є шкідливим програмним забезпеченням (з рівнем «впевненості» 85%), то хмара визначає, що файл є шкідливим.
Оцінки «Класифікація» та «впевненість», які становлять найважливішу частину аналізу бекенда, отримуються за допомогою моделі машинного навчання.
У випадку, якщо хмарний сервер не виносить вердикту, він запитує весь файл для детального аналізу. Поки файл не буде завантажено, а хмара не підтвердить його отримання, Windows Defender блокує файл і не дозволяє запускати на клієнті. Це ключова зміна, яку команда Windows Defender внесла в ювілейному оновленні Windows 10 (v1607).
Раніше підозрілий файл міг запускатися під час завантаження, синхронно. Ще до завершення завантаження зловмисне програмне забезпечення завершило б роботу та самознищилося.
Підходячи до демонстрації команди Windows Defender Engineering, ми обговорили два сценарії. У сценарії 1 хмарний сервер класифікує файл як зловмисне програмне забезпечення лише на основі метаданих. Пристрій №1 з вимкненим захистом від хмари заражається під час запуску файлу. А пристрій №2 із увімкненим захистом від хмари миттєво захищений.
У сценарії 2 перший користувач запускає невідоме шкідливе програмне забезпечення. Хмара не прийняла рішення на основі метаданих, і, таким чином, увесь файл був надісланий автоматично.
Час подання було о 19:48:59 – серверна система завершила автоматизований аналіз о 19:49:01 (~2 секунди від моменту, коли завантаження потрапило до хмарного сервера) і визначило, що файл є шкідливим програмним забезпеченням.
З самого моменту Windows Defender блокуватиме будь-які майбутні зустрічі з цим файлом, захищаючи таким чином мільйони інших пристроїв, на яких увімкнено хмарний захист Windows Defender.
Microsoft також має тестовий сайт під назвою Тестовий полігон Windows Defender де ви можете перевірити ефективність хмарного захисту Defender, завантаживши зразки.
Хоча друга демонстрація не вдалася через деякі проблеми з підключенням до хмари, загалом вона корисна презентація, яка пояснює важливість хмарного захисту Windows Defender «заблокувати з першого погляду». особливість. Якби ви вимкнули цю функцію, я думаю, тепер у вас буде друга думка.
Довідники та кредити
Увімкніть функцію Блокування з першого погляду, щоб виявити шкідливе програмне забезпечення за секунди
Ознайомтеся з миттєвим захистом Windows Defender | Microsoft Ignite 2016 | Канал 9
Одне невелике прохання: якщо вам сподобався цей пост, поділіться ним?
Одна ваша "крихітна" публікація серйозно допомогла б у розвитку цього блогу. Кілька чудових пропозицій:- Закріпіть!
- Поділіться ним у своєму улюбленому блозі + Facebook, Reddit
- Твіттер!