Kuidas töötab Windows Defender pilvekaitsefunktsioon „Blokeeri esmapilgul”?

2018-05-18 10:54:35
Põhiline·Microsoft·Kuidas töötab Windows Defender pilvekaitsefunktsioon „Blokeeri esmapilgul”?

Windows Defender või Microsofti ründevaravastane platvorm kaitsevad koduarvuteid, servereid ja võrguteenuseid, näiteks Office 365. Ohutarkuse ja telemeetriaandmete hulgaga on Defenderi pilvepõhine taust hämmastav pahavara kaitse teenus.

Uue õelvara ilmumisel loodusesse võib kuluda tunde, kuni Microsofti pahavaravastane meeskond (või mõni muu viirusetõrje- või pahavaravastane ettevõte) enne seda faili analüüsib, ümberprojekteerib ja ründefaili plaadistab. saab allkirja värskenduse vabastada. Ja rääkimata QC-st, peab allkirjade värskendus läbima.

Mis puutub pahavara kaitsesse, siis ei saa eitada asjaolu, et allkirjapõhine kaitse on peamine. Kuid sellest ei piisa, kuna see ei pruugi alati aidata - eriti uhiuue või tundmatu pahavara korral. Vastavalt Microsofti aruandele uue pahavara ilmumisel on nakatunud 30% arvutitest esimese nelja tunni jooksul. Allkirjade värskendused tulevad tavaliselt mõni tund hiljem.

Windows Defenderi tugev pilvepõhine kaitse seevastu kasutab heuristikat, masinõppe mudelit ja teeb taustaprogrammis üksikasjalikku analüüsi, et teha kindlaks, kas fail on õelvara.

Windows Defenderi pilvepõhine kaitse või funktsioon „esmapilgul blokeerima” on vaikimisi lubatud. Kui olete privaatsusprobleemide tõttu Windows Defenderis pilvekaitse valiku välja lülitanud, siis parem vaadata Windows Defenderi insenerimeeskonna demo, mis näitab, kui tõhus võib olla pilvekaitse.

9. kanali video: uurige Windows Defenderi otsest kaitset | Microsoft Ignite 2016

Veenduge, et „Blokeeri esmapilgul” pilvekaitse on lubatud

Klõpsake nuppu Start, Seaded. (Või vajutage nuppu WinKey + i)

Klõpsake seadete lehel suvandit Uuendamine ja turvalisus ning seejärel nuppu Windows Defender.

Veenduge, et pilvepõhine kaitse ja automaatse proovide esitamise seaded on lubatud.

Kui Windows Defenderi pilvekaitse ja piltide esitamise suvandid on blokeeritud Windows Defenderi seadetes, kui süsteem avastab kahtlase faili, mis muidu läbib allkirjapõhise tuvastamise, saadab Defender kahtlase faili metaandmed pilvetaustaprogrammi. Pange tähele, et pilv ei taotle alati kogu faili.

Pilverakenduses olevad masinad analüüsivad metaandmeid, kasutades selleks mitmesugust loogikat, URL-i mainet ja telemeetria andmeid, et teha kindlaks, kas fail on õelvara.

Näiteks kui pahavara failinimi ühtib Windowsi tuummooduli nimega, kontrollib pilve taustprogramm mooduli digitaalallkirja. Kui see pole allkirjastatud või pole Microsofti allkirjastatud ja selle klassifikatsioon on õelvara (usaldusnivoo tasemel 85%), määrab pilv, kas fail on õelvara.

Klassifikatsiooni ja enesekindluse hinnangud, mis moodustavad taustaprogrammi olulisema osa, saadakse masinõppe mudeli abil.

Kui pilve taustaprogrammi ei tehta otsust, taotleb ta kogu faili kohta üksikasjalikku analüüsi. Kuni fail on üles laaditud ja pilv kinnitab selle kättesaamist, lukustab Windows Defender faili ega luba kliendi käitamist. See on peamine muudatus, mille Windows Defenderi meeskond on teinud Windows 10 aastapäeva värskenduses (v1607).

Varem lasti kahtlasel failil üleslaadimise ajal sünkroonselt töötada. Isegi enne üleslaadimise lõpetamist oleks pahavara käitamine lõpetanud ja ise hävitanud.

Tulles Windows Defender Engineering meeskonna demosse, arutati kahte stsenaariumi. 1. stsenaariumi korral klassifitseerib pilve taustprogramm faili õelvarana ainult metaandmete põhjal. Seade nr 1, mille pilvekaitse on välja lülitatud, nakatub faili käitamisel. Ja seade nr 2, mille pilvekaitse on sisse lülitatud, on kohe kaitstud.

2. stsenaariumi korral käivitab esimene kasutaja tundmatu pahavara. Pilv ei jõudnud metaandmete põhjal kohtuotsuseni ja seega esitati kogu fail automaatselt.

Esitamisaeg oli kell 19:48:59 tundi - backend viis automaatse analüüsi lõpule kell 19:49:01 (umbes 2 sekundit pärast pilve üleslaadimise tabamuse saabumist) ja leidis, et fail on pahavara.

Alates sellest hetkest blokeerib Windows Defender selle faili kõik tulevased kohtumised, kaitstes sellega miljoneid teisi seadmeid, millel on Windows Defenderi pilvepõhine kaitse lubatud.

Microsoftil on ka testisait nimega Windows Defender Testground, kus saate proovide üleslaadimisega kontrollida Defenderi pilvekaitse tõhusust.

Ehkki teine ​​demo mõne pilvega seotud probleemide tõttu ei õnnestunud, on see üldiselt kasulik esitlus, mis selgitab Windows Defenderi pilvepõhise kaitsefunktsiooni „esmapilgul blokeerimine” olulisust. Kui oleksite selle funktsiooni välja lülitanud, siis arvan, et teil on nüüd teine ​​mõte.

Viited ja krediidid

Lubage funktsioon Blokeerida esmapilgul, et sekundite jooksul pahavara tuvastada
Avastage Windows Defenderi vahetu kaitse | Microsoft Ignite 2016 | 9. kanal

Toimetaja Valik