Windows Defender ali Microsoftova platforma za zaščito pred zlonamerno programsko opremo ščiti domače računalnike, strežnike in spletne storitve, kot je Office 365. Z bogastvom podatkov o inteligenci in telemetriji nevarnosti je Defenderjev oblak v ozadju osupljiva storitev zaščite pred zlonamerno programsko opremo.
Ko se nova zlonamerna programska oprema pojavi v naravi, lahko traja nekaj ur, da Microsoftova ekipa za boj proti zlonamerni programski opremi (ali katero koli drugo podjetje za protivirusno ali zlonamerno programsko opremo) analizira, preusmeri in izvede detonacijo datoteke pred zlonamerno programsko opremo. lahko izda posodobitev podpisa. Da ne omenjam QC-ja, mora posodobitev podpisa preiti.
Kar zadeva zaščito pred zlonamerno programsko opremo, ni mogoče zanikati dejstva, da je zaščita na podlagi podpisov glavna. A to ne zadostuje, saj morda ne bo vedno v pomoč - zlasti v primeru povsem nove ali neznane zlonamerne programske opreme. Glede na Microsoftovo poročilo, ko se pojavi nova zlonamerna programska oprema, je v prvih štirih urah okuženih 30% računalnikov. Posodobitve podpisa običajno pridejo ure kasneje.
Robustna zaščita v oblaku Windows Defender pa uporablja hevristiko, model strojnega učenja in na zaledju podrobno analizira, da ugotovi, ali je datoteka zlonamerna programska oprema.
Funkcija zaščite v oblaku Windows Defender ali funkcija »blokiraj na prvi pogled« je privzeto omogočena. Če ste v programu Windows Defender izklopili možnost zaščite v oblaku zaradi skrbi glede zasebnosti, si raje oglejte predstavitev ekipe Windows Defender Engineering, ki prikazuje, kako učinkovita je lahko zaščita v oblaku.
Video kanala 9: Raziščite takojšnjo zaščito programa Windows Defender | Microsoft Ignite 2016
Prepričajte se, da je omogočena zaščita v oblaku »Blokiraj na prvi pogled«
Kliknite Start, Nastavitve. (Ali pritisnite WinKey + i)
Na strani z nastavitvami kliknite Posodobitev in varnost in nato Windows Defender.
Poskrbi da Zaščita v oblaku in Samodejna oddaja vzorca nastavitve so omogočene.
Ko so v nastavitvah programa Windows Defender omogočene možnosti zaščite v oblaku in blokiranje na prvi pogled v oblaku in možnosti predložitve vzorcev v programu Windows Defender, če sistem naleti na sumljivo datoteko, ki sicer preide na zaznavanje na podlagi podpisa, Defender metapodatke sumljive datoteke pošlje v ozadje v oblaku. Upoštevajte, da oblak ne zahteva vedno celotne datoteke.
Stroji v zaledju v oblaku analizirajo metapodatke, pri čemer uporabljajo različne logike, ugled URL-jev in telemetrične podatke, da ugotovijo, ali je datoteka zlonamerna programska oprema.
Če se ime datoteke zlonamerne programske opreme na primer ujema z imenom jedra modula Windows, zaledje v oblaku preveri digitalni podpis modula. Če ni podpisan ali ga Microsoft ni podpisal in je »klasifikacija« zlonamerna programska oprema (s stopnjo »zaupanja« 85%), oblak ugotovi, da je datoteka zlonamerna programska oprema.
Ocene „razvrstitev“ in „zaupanje“, ki predstavljajo najpomembnejši del analize ozadja, so pridobljene z modelom strojnega učenja.
V primeru, da zaledje v oblaku ne razsodi, zahteva celotno datoteko za podrobno analizo. Dokler datoteka ni naložena in oblak potrdi prejem iste, Windows Defender datoteko zaklene in ne dovoli zagona na odjemalcu. To je ključna sprememba, ki jo je ekipa Windows Defender naredila v posodobitvi Windows 10 Anniversary Update (v1607).
Prej je bilo sumljivo datoteko dovoljeno zagnati med sinhronim nalaganjem. Še preden bi se nalaganje končalo, bi se zlonamerna programska oprema končala in se sama uničila.
V predstavitvi ekipe za Windows Defender Engineering smo razpravljali o dveh scenarijih. V scenariju 1 zaledje v oblaku datoteko razvrsti kot zlonamerno programsko opremo, samo na podlagi metapodatkov. Naprava št. 1 z izklopljeno zaščito v oblaku se okuži med zagonom datoteke. In naprava št. 2 z vklopljeno zaščito v oblaku je takoj zaščitena.
V scenariju 2 prvi uporabnik zažene neznano zlonamerno programsko opremo. Na podlagi metapodatkov oblak ni dosegel nobene razsodbe, zato je bila celotna datoteka samodejno poslana.
Čas oddaje je bil ob 19:48:59 urah - zaledje je samodejno analizo zaključilo ob 19:49:01 urah (~ 2 sekundi od trenutka, ko je nalaganje zadelo oblak v oblaku) in ugotovilo, da je datoteka zlonamerna program.
Od samega trenutka bo Windows Defender blokiral vsa prihodnja srečanja s to datoteko in tako zaščitil milijone drugih naprav, ki imajo omogočeno zaščito v oblaku Windows Defender.
Microsoft ima tudi testno spletno mesto z imenom Testno okolje Windows Defender kjer lahko z nalaganjem vzorcev preverite učinkovitost Defenderjeve zaščite v oblaku.
Čeprav druga predstavitev zaradi nekaterih težav s povezljivostjo z oblakom ni uspela, je na splošno koristna predstavitev, ki pojasnjuje pomembnost zaščitne funkcije v oblaku, ki temelji na sistemu Windows Defender. Če ste funkcijo izklopili, mislim, da boste zdaj pomislili.
Reference in priznanja
Omogočite funkcijo Blokiraj na prvi pogled, če želite v nekaj sekundah zaznati zlonamerno programsko opremo
Raziščite takojšnjo zaščito programa Windows Defender | Microsoft Ignite 2016 | Kanal 9
Ena majhna prošnja: če vam je bila ta objava všeč, jo prosim delite?
Ena vaša 'drobna' delnica bi resno pomagala pri rasti tega spletnega dnevnika. Nekaj odličnih predlogov:- Pripnete!
- Delite ga s svojim najljubšim blogom + Facebook, Reddit
- Cvrkujte!