A Windows Defender vagy a Microsoft kártevőirtó platformja védi az otthoni számítógépeket, szervereket és olyan online szolgáltatásokat, mint az Office 365. A fenyegetés-intelligencia és a telemetriai adatok gazdagságával a Defender felhőalapú háttere meghökkentő kártevő-védelmi szolgáltatás.
Amikor egy új rosszindulatú program megjelenik a vadonban, órákba telhet, amíg a Microsoft kártevőirtó csapata (vagy bármely más vírusirtó vagy kártevőirtó cég ebben az esetben) elemzi, visszafejelezi és rosszindulatú programot robbant a fájl előtt. kiadhat egy aláírásfrissítést. És nem is beszélve a minőségbiztosításról, az aláírás frissítésének át kell mennie.
Ami a rosszindulatú programok elleni védelmet illeti, nem tagadható, hogy az aláíráson alapuló védelem a legfontosabb. De ez nem elegendő, mivel nem mindig segít - különösen vadonatúj vagy ismeretlen rosszindulatú programok esetén. A Microsoft jelentése szerint új rosszindulatú programok megjelenésekor a számítógépek 30% -a az első négy órán belül megfertőződik. Az aláírások frissítése általában órákkal később történik.
A Windows Defender robusztus felhőalapú védelme viszont heurisztikát, gépi tanulási modellt használ, és részletes elemzést végez a háttérlapon annak megállapítására, hogy egy fájl rosszindulatú program-e.
A Windows Defender felhőalapú védelme vagy a „blokkolás első látásra” funkció alapértelmezés szerint engedélyezve van. Ha „adatvédelmi” aggodalmak miatt kikapcsolta a felhővédelem opciót a Windows Defenderben, érdemes jobban megnéznie a Windows Defender Engineering csapatának bemutatóját, amely megmutatja, mennyire hatékony lehet a felhővédelem.
9. csatorna videó: Fedezze fel a Windows Defender azonnali védelmét | Microsoft Ignite 2016
Győződjön meg arról, hogy a „Blokkolás első látásra” funkció engedélyezve van
Kattintson a Start, Beállítások elemre. (Vagy nyomja meg a WinKey + i billentyűkombinációt)
A Beállítások oldalon kattintson a Frissítés és biztonság, majd a Windows Defender elemre.
Győződjön meg arról, hogy Felhőalapú védelem és Automatikus minta benyújtása beállítások engedélyezve vannak.
Ha a Windows Defender „Letiltás első látásra” felhővédelme és a minta benyújtási lehetőségek engedélyezve vannak a Windows Defender beállításaiban, ha a rendszer gyanús fájllal találkozik, amely egyébként átmegy az aláírás-alapú észlelésen, a Defender elküldi a gyanús fájl metaadatait a felhő háttérprogramjának. Ne feledje, hogy a felhő nem mindig kéri a teljes fájlt.
A felhő háttérterületén lévő gépek elemzik a metaadatokat, felhasználva a különféle logikákat, URL-hírnevet és telemetriai adatokat annak megállapítására, hogy a fájl rosszindulatú-e.
Például, ha a rosszindulatú program fájlneve megegyezik egy alapvető Windows modul nevével, a felhő háttérprogram ellenőrzi a modul digitális aláírását. Ha nincs aláírva, vagy a Microsoft nem írja alá, és a „besorolás” rosszindulatú program (85% -os „magabiztosság” szinttel), akkor a felhő azt állapítja meg, hogy a fájl rosszindulatú program.
A háttér-elemzés legfontosabb részét képező „osztályozás” és „bizalom” értékeléseket a gépi tanulási modellen keresztül kapjuk meg.
Abban az esetben, ha a felhő háttérprogramja nem hoz ítéletet, a teljes fájlt kéri részletes elemzésre. Amíg a fájlt nem töltik fel és a felhő nem erősíti meg annak kézhezvételét, a Windows Defender zárolja a fájlt, és nem teszi lehetővé az ügyfél futtatását. Ez egy kulcsfontosságú változás, amelyet a Windows Defender csapata végrehajtott a Windows 10 évfordulós frissítésében (v1607).
Korábban a gyanús fájlt szinkronban futtathatták, amíg a feltöltés folyamatban volt. Még a feltöltés befejezése előtt a kártevő befejezte volna a futtatást és önpusztította magát.
A Windows Defender Engineering csapat bemutatójához eljutva két forgatókönyvet vitattunk meg. Az 1. forgatókönyvben a felhő háttérprogram csak a metaadatok alapján osztályozza a fájlt rosszindulatú programnak. Az 1. eszköz ki van kapcsolva a felhővédelemmel, megfertőződik a fájl futtatásakor. És a 2. eszköz be van kapcsolva felhővédelemmel, azonnal védett.
A 2. forgatókönyvben az első felhasználó ismeretlen rosszindulatú programot futtat. A felhő nem hozott ítéletet a metaadatok alapján, és így a teljes fájlt automatikusan elküldték.
A beküldési idő 19:48:59 óra volt - a háttérprogram befejezte az automatizált elemzést 19:49:01 órakor (~ 2 másodpercre a felhő háttérprogramjának feltöltésétől számítva), és megállapította, hogy a fájl rosszindulatú program.
Már a pillanatban a Windows Defender blokkolja a fájl esetleges jövőbeli találkozásait, ezáltal több millió más eszközt véd meg, amelyekben engedélyezve van a Windows Defender felhőalapú védelme.
A Microsoftnak van egy teszt webhelye is Windows Defender teszttér ahol minták feltöltésével ellenőrizheti a Defender felhővédelmének hatékonyságát.
Bár a második bemutató nem sikerült a felhővel való néhány kapcsolódási probléma miatt, összességében hasznos bemutató, amely megmagyarázza a Windows Defender „első látásra blokkoló” felhőalapú védelmi funkciójának fontosságát. Ha kikapcsolta volna a funkciót, akkor azt hiszem, most meggondolja magát.
Referenciák és kreditek
Engedélyezze a Blokkolás első látásra funkciót, hogy másodperceken belül észlelje a rosszindulatú programokat
Fedezze fel a Windows Defender azonnali védelmét Microsoft Ignite 2016 | 9. csatorna
Egy apró kérés: Ha tetszett ez a bejegyzés, kérjük, ossza meg ezt?
Egy „apró” részvénye komolyan sokat segítene ennek a blognak a növekedésében. Néhány nagyszerű javaslat:- Tűzd ki!
- Oszd meg kedvenc blogodon + Facebookon, a Reddit-ben
- Tweeteld!