Jak działa funkcja ochrony w chmurze „Zablokuj od pierwszego wejrzenia” programu Windows Defender? - Winhelponline

How Windows Defender Block First Sight Cloud Protection Feature Works



Windows Defender lub platforma firmy Microsoft chroniąca przed złośliwym oprogramowaniem chroni domowe komputery, serwery i usługi online, takie jak Office 365. Dzięki bogactwu informacji o zagrożeniach i danych telemetrycznych zaplecze chmury Defender jest zdumiewającą usługą ochrony przed złośliwym oprogramowaniem.

blok obrońcy na pierwszy rzut oka







Gdy nowe złośliwe oprogramowanie pojawi się na wolności, zespół Microsoft ds. Ochrony przed złośliwym oprogramowaniem (lub jakakolwiek inna firma antywirusowa lub anty-malware) może zająć kilka godzin, zanim przeanalizuje, przeprowadzi inżynierię wsteczną i przeprowadzi detonację złośliwego oprogramowania w pliku. może wydać aktualizację podpisu. Nie wspominając o kontroli jakości, przez którą musi przejść aktualizacja sygnatury.



Jeśli chodzi o ochronę przed złośliwym oprogramowaniem, nie można zaprzeczyć, że ochrona oparta na sygnaturach jest najważniejsza. Ale to nie wystarczy, ponieważ nie zawsze może pomóc - zwłaszcza w przypadku zupełnie nowego lub nieznanego złośliwego oprogramowania. Zgodnie z raportem firmy Microsoft, gdy pojawia się nowe złośliwe oprogramowanie, 30% komputerów jest zainfekowanych w ciągu pierwszych czterech godzin. Aktualizacje sygnatur zwykle pojawiają się kilka godzin później.



blok obrońcy na pierwszy rzut oka





Z drugiej strony, solidna, oparta na chmurze ochrona programu Windows Defender wykorzystuje heurystykę, model uczenia maszynowego i przeprowadza szczegółową analizę zaplecza, aby określić, czy plik jest złośliwym oprogramowaniem.

Usługa Windows Defender oparta na chmurze lub funkcja „blokuj na pierwszy rzut oka” jest domyślnie włączona. Jeśli wyłączyłeś opcję ochrony w chmurze w programie Windows Defender ze względu na „prywatność”, lepiej obejrzyj prezentację przygotowaną przez zespół inżynierów programu Windows Defender, która pokazuje, jak skuteczna może być ochrona w chmurze.



Wideo Channel 9: Poznaj usługę Windows Defender Instant Protection | Microsoft Ignite 2016

Upewnij się, że ochrona w chmurze „Blokuj od pierwszego wejrzenia” jest włączona

Kliknij Start, Ustawienia. (Lub naciśnij WinKey + i)

Na stronie Ustawienia kliknij Aktualizacja i zabezpieczenia, a następnie Windows Defender.

Upewnij się, że Ochrona oparta na chmurze i Automatyczne przesyłanie próbek ustawienia są włączone.

ochrona chmury obrońców

Gdy w ustawieniach programu Windows Defender jest włączona funkcja „Zablokuj od pierwszego wejrzenia”, ochrona chmury i opcje przesyłania próbek, jeśli system napotka podejrzany plik, który w przeciwnym razie przechodzi wykrywanie na podstawie sygnatur, usługa Defender wysyła metadane podejrzanego pliku do zaplecza w chmurze. Pamiętaj, że chmura nie zawsze żąda całego pliku.

Maszyny w chmurze analizują metadane, wykorzystując różne logiki, reputację adresów URL i dane telemetryczne, aby określić, czy plik jest złośliwym oprogramowaniem.

Na przykład, jeśli nazwa pliku złośliwego oprogramowania odpowiada nazwie podstawowego modułu systemu Windows, zaplecze w chmurze sprawdza podpis cyfrowy modułu. Jeśli jest niepodpisany lub nie jest podpisany przez firmę Microsoft, a jego „klasyfikacja” to złośliwe oprogramowanie (z poziomem „zaufania” 85%), wówczas chmura ustala, że ​​plik jest złośliwym oprogramowaniem.

ochrona chmury obrońców

Oceny „Klasyfikacja” i „zaufanie”, które stanowią najważniejszą część analizy zaplecza, uzyskuje się za pomocą modelu uczenia maszynowego.

W przypadku gdy backend w chmurze nie wyda werdyktu, żąda szczegółowej analizy całego pliku. Dopóki plik nie zostanie przesłany, a chmura potwierdzi jego otrzymanie, program Windows Defender blokuje plik i nie zezwala na uruchomienie na kliencie. To kluczowa zmiana, którą zespół Windows Defender wprowadził w rocznicowej aktualizacji systemu Windows 10 (v1607).

Wcześniej podejrzany plik mógł być uruchamiany synchronicznie w trakcie przesyłania. Jeszcze przed zakończeniem przesyłania szkodliwe oprogramowanie przestałoby działać i samo się zniszczyło.

W ramach demonstracji zespołu inżynierów programu Windows Defender omówiono dwa scenariusze. W scenariuszu 1 zaplecze w chmurze klasyfikuje plik jako złośliwe oprogramowanie tylko na podstawie metadanych. Urządzenie nr 1 z wyłączoną ochroną w chmurze zostaje zainfekowane podczas uruchamiania pliku. Urządzenie nr 2 z włączoną ochroną w chmurze jest natychmiast chronione.

W scenariuszu 2 pierwszy użytkownik uruchamia nieznane złośliwe oprogramowanie. Chmura nie osiągnęła werdyktu na podstawie metadanych, a tym samym cały plik został przesłany automatycznie.

Czas przesyłania wynosił 19:48:59 - backend zakończył automatyczną analizę o 19:49:01 (~ 2 sekundy od momentu, gdy przesyłanie trafiło do chmury) i stwierdził, że plik jest złośliwym oprogramowaniem.

Od tego momentu program Windows Defender będzie blokował wszelkie przyszłe spotkania z tym plikiem, chroniąc w ten sposób miliony innych urządzeń z włączoną ochroną w chmurze Windows Defender.

Firma Microsoft ma również witrynę testową o nazwie Windows Defender Testground gdzie możesz sprawdzić skuteczność ochrony chmury Defender, przesyłając próbki.

Chociaż druga wersja demonstracyjna nie powiodła się z powodu pewnych problemów z łącznością z chmurą, ogólnie jest to przydatna prezentacja, która wyjaśnia znaczenie funkcji ochrony w chmurze „blokuj od pierwszego wejrzenia” programu Windows Defender. Gdybyś wyłączył tę funkcję, myślę, że teraz będziesz miał drugą myśl.

Referencje i napisy

Włącz funkcję Blokuj od pierwszego wejrzenia, aby wykryć złośliwe oprogramowanie w ciągu kilku sekund
Poznaj usługę Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanał 9


Jedna mała prośba: jeśli podobał Ci się ten post, udostępnij go?

Jedna „mała” część od Ciebie bardzo pomogłaby w rozwoju tego bloga. Kilka świetnych sugestii:
  • Przypiąć!
  • Udostępnij to na swoim ulubionym blogu + Facebook, Reddit
  • Tweetnij to!
Tak więc bardzo dziękuję za wsparcie, mój czytelniku. Nie zajmie to więcej niż 10 sekund Twojego czasu. Przyciski udostępniania znajdują się tuż poniżej. :)