Windows Defender или платформата за защита от зловреден софтуер на Microsoft защитават домашните компютри, сървъри и онлайн услуги като Office 365. С богатството от данни за разузнаване на заплахи и телеметрия, облакът на облака на Defender е изумителна услуга за защита от зловреден софтуер.
Когато нов зловреден софтуер се появи в дивата природа, може да отнеме часове на екипа на Microsoft за борба със зловредния софтуер (или която и да е друга антивирусна или антималуерна компания) да анализира, извърши обратен инженеринг и да извърши детонация на зловреден софтуер на файла преди него може да пусне актуализация на подпис. И, да не говорим за QC, актуализацията на подписа трябва да премине.
Що се отнася до защитата срещу зловреден софтуер, не може да се отрече фактът, че защитата, базирана на подпис, е основна. Но това не е достатъчно, тъй като не винаги може да помогне - особено в случай на чисто нов или неизвестен злонамерен софтуер. Според доклада на Microsoft, когато се появи нов зловреден софтуер, 30% от компютрите са заразени през първите четири часа. Актуализациите на подписите обикновено идват часове по-късно.
От друга страна, стабилната защита, базирана на облак на Windows Defender, използва евристика, модел на машинно обучение и прави подробен анализ в бекенда, за да определи дали файлът е злонамерен софтуер.
Функцията за защита в облак на Windows Defender или функцията „блокиране от пръв поглед“ по подразбиране е активирана. Ако сте изключили опцията за защита в облака в Windows Defender поради опасения относно „поверителността“, по-добре гледайте демонстрацията на екипа на Windows Defender Engineering, която показва колко ефективна може да бъде защитата в облака.
Канал 9 Видео: Разгледайте незабавна защита на Windows Defender | Microsoft Ignite 2016
Уверете се, че е активирана „Блокиране от пръв поглед“ Cloud Protection
Щракнете върху Старт, Настройки. (Или натиснете WinKey + i)
На страницата с настройки щракнете върху Актуализиране и защита и след това на Windows Defender.
Уверете се, че Облачна защита и Автоматично подаване на проби настройките са активирани.
Когато в настройките на Windows Defender са активирани опцията за защита на облака „Блокиране от пръв поглед“ и опциите за подаване на проби в Windows Defender, ако системата срещне подозрителен файл, който иначе преминава откриване, основано на подпис, Defender изпраща метаданните на подозрителния файл до облака. Имайте предвид, че облакът не винаги изисква целия файл.
Машините в облака на облака анализират метаданните, използвайки различните логики, репутация на URL адреси и телеметрични данни, за да определят дали файлът е злонамерен софтуер.
Например, ако името на файла на злонамерения софтуер съвпада с името на основния модул на Windows, облакът в облака проверява цифровия подпис на модула. Ако е неподписан или не е подписан от Microsoft и това е „класификация“ е злонамерен софтуер (с ниво на „доверие“ 85%), тогава облакът определя, че файлът е злонамерен софтуер.
Оценките „Класификация“ и „доверие“, които съставляват най-важната част от бекенд анализа, се получават чрез модела на машинно обучение.
В случай, че облачната среда не излезе с присъда, той иска целия файл за подробен анализ. Докато файлът не бъде качен и облакът потвърди получаването на същия, Windows Defender заключва файла и не позволява да се стартира на клиента. Това е ключова промяна, която екипът на Windows Defender направи в актуализацията на Windows 10 Anniversary (v1607).
Преди това на подозрителния файл беше разрешено да се изпълнява по време на качването, синхронно. Още преди качването да приключи, зловредният софтуер щеше да приключи и да се самоунищожи.
По време на демонстрацията на екипа на Windows Defender Engineering имаше два обсъдени сценария. В сценарий 1, облачната среда на облака класифицира файл като злонамерен софтуер, само въз основа на метаданните. Устройство №1 с изключена защита в облак се заразява при стартиране на файла. А устройство №2 с включена защита в облака е незабавно защитено.
В сценарий 2 първият потребител изпълнява неизвестен злонамерен софтуер. Облакът не достигна до присъда въз основа на метаданните и по този начин целият файл беше изпратен автоматично.
Времето за изпращане беше в 19:48:59 часа - backend завърши автоматизирания анализ в 19:49:01 часа (~ 2 секунди от момента, в който качването удари облака) и установи, че файлът е злонамерен софтуер.
От самото начало Windows Defender ще блокира всякакви бъдещи срещи с този файл, като по този начин защитава милиони други устройства, които имат активирана защита в облак, базирана на Windows Defender.
Microsoft също има тестов сайт с име Тестово поле на Windows Defender където можете да проверите ефективността на защитата в облака на Defender, като качите мостри.
Въпреки че втората демонстрация не успя поради някои проблеми с връзката с облака, като цяло това е полезна презентация, която обяснява значението на функцията за защита на Windows Defender „блокиране на пръв поглед“. Ако бяхте изключили функцията, предполагам, че сега ще се замислите.
Референции и кредити
Активирайте функцията Блокиране от пръв поглед, за да откриете злонамерен софтуер в рамките на секунди
Разгледайте незабавна защита на Windows Defender | Microsoft Ignite 2016 | Канал 9
Една малка молба: Ако харесате тази публикация, моля, споделете това?
Един „малък“ дял от вас сериозно би помогнал много за растежа на този блог. Няколко чудесни предложения:- Закачете го!
- Споделете го в любимия си блог + Facebook, Reddit
- Изпратете го в Twitter!