Jak działa funkcja ochrony chmury „Zablokuj od pierwszego wejrzenia” w programie Windows Defender?

2018-05-18 10:54:35
Główny·Microsoft·Jak działa funkcja ochrony chmury „Zablokuj od pierwszego wejrzenia” w programie Windows Defender?

Windows Defender lub platforma anty-malware firmy Microsoft chroni komputery domowe, serwery i usługi online, takie jak Office 365. Dzięki bogactwu danych o zagrożeniach i danych telemetrycznych backend w chmurze Defender jest zdumiewającą usługą ochrony przed złośliwym oprogramowaniem.

Kiedy nowe złośliwe oprogramowanie pojawia się na wolności, zespół zajmujący się programami przeciwdziałającymi złośliwemu oprogramowaniu firmy Microsoft (lub dowolną inną firmą antywirusową lub przeciwdziałającą złośliwemu oprogramowaniu) może przeanalizować, poddać inżynierii wstecznej i przeprowadzić detonację pliku przed złośliwym oprogramowaniem może wydać aktualizację podpisu. I nie wspominając o kontroli jakości, aktualizacja sygnatury musi przejść.

Jeśli chodzi o ochronę przed złośliwym oprogramowaniem, nie można zaprzeczyć, że ochrona oparta na sygnaturach jest najważniejsza. Ale to nie wystarcza, ponieważ nie zawsze może pomóc - szczególnie w przypadku zupełnie nowego lub nieznanego złośliwego oprogramowania. Zgodnie z raportem Microsoftu, gdy pojawia się nowe złośliwe oprogramowanie, 30% komputerów jest zainfekowanych w ciągu pierwszych czterech godzin. Aktualizacje podpisów zwykle przychodzą kilka godzin później.

Z drugiej strony solidna ochrona oparta na chmurze w Windows Defender wykorzystuje heurystykę, model uczenia maszynowego i wykonuje szczegółową analizę w backend, aby ustalić, czy plik jest złośliwym oprogramowaniem.

Ochrona w chmurze lub funkcja „blokuj od pierwszego wejrzenia” w programie Windows Defender jest domyślnie włączona. Jeśli wyłączyłeś opcję ochrony w chmurze w programie Windows Defender ze względu na obawy związane z „prywatnością”, lepiej obejrzyj prezentację zespołu inżynierów Windows Defender, która pokazuje, jak skuteczna może być ochrona w chmurze.

Film na kanale 9: poznaj natychmiastową ochronę Windows Defender | Microsoft Ignite 2016

Upewnij się, że ochrona chmury „Zablokuj od pierwszego wejrzenia” jest włączona

Kliknij Start, Ustawienia. (Lub naciśnij WinKey + i)

Na stronie Ustawienia kliknij Aktualizuj i zabezpieczenia, a następnie Windows Defender.

Upewnij się, że ustawienia ochrony w chmurze i automatycznego przesyłania próbek są włączone.

Gdy ochrona chmury „Blokuj od pierwszego wejrzenia” i opcje przesyłania próbek w programie Windows Defender są włączone w ustawieniach Windows Defender, jeśli system napotka podejrzany plik, który w przeciwnym razie przejdzie wykrywanie oparte na sygnaturach, Defender wysyła metadane podejrzanego pliku do zaplecza chmury. Pamiętaj, że chmura nie zawsze żąda całego pliku.

Maszyny w zapleczu chmurowym analizują metadane, wykorzystując różne logiki, reputację adresów URL i dane telemetryczne w celu ustalenia, czy plik jest złośliwy.

Na przykład, jeśli nazwa pliku złośliwego oprogramowania jest zgodna z nazwą podstawowego modułu systemu Windows, zaplecze chmurowe sprawdza podpis cyfrowy modułu. Jeśli jest niepodpisany lub nie podpisany przez Microsoft, a jego „klasyfikacja” jest złośliwym oprogramowaniem (z poziomem „ufności” 85%), chmura określa, że ​​plik jest złośliwy.

Oceny „klasyfikacji” i „zaufania”, które stanowią najważniejszą część analizy zaplecza, są uzyskiwane za pomocą modelu uczenia maszynowego.

W przypadku, gdy backend w chmurze nie wyda werdyktu, żąda całego pliku do szczegółowej analizy. Dopóki plik nie zostanie przesłany, a chmura nie potwierdzi jego otrzymania, Windows Defender blokuje plik i nie pozwala na uruchomienie na kliencie. To kluczowa zmiana, którą zespół Windows Defender wprowadził w rocznicowej aktualizacji systemu Windows 10 (v1607).

Wcześniej podejrzany plik mógł działać synchronicznie w trakcie przesyłania. Nawet zanim przesyłanie zostanie zakończone, złośliwe oprogramowanie skończy się i samo się zniszczy.

W wersji demonstracyjnej zespołu Windows Defender Engineering omówiono dwa scenariusze. W scenariuszu 1 zaplecze chmurowe klasyfikuje plik jako złośliwe oprogramowanie, wyłącznie na podstawie metadanych. Urządzenie nr 1 z wyłączoną ochroną chmury, zostaje zainfekowane podczas uruchamiania pliku. A urządzenie nr 2 z włączoną ochroną chmury jest natychmiast chronione.

W scenariuszu 2 pierwszy użytkownik uruchamia nieznane złośliwe oprogramowanie. Chmura nie osiągnęła werdyktu na podstawie metadanych, dlatego cały plik został automatycznie przesłany.

Czas przesłania wyniósł 19:48:59 godzin - backend zakończył automatyczną analizę o 19:49:01 godzin (~ 2 sekundy od momentu załadowania backendu do chmury) i ustalił, że plik jest złośliwy.

Od samego początku Windows Defender będzie blokował wszelkie przyszłe napotkania tego pliku, chroniąc w ten sposób miliony innych urządzeń z włączoną ochroną chmurową Windows Defender.

Microsoft ma również witrynę testową o nazwie Windows Defender Testground, na której można sprawdzić skuteczność ochrony chmury w Defender, przesyłając próbki.

Chociaż drugie demo nie powiodło się z powodu pewnych problemów z łącznością z chmurą, ogólnie rzecz biorąc, jest to przydatna prezentacja, która wyjaśnia znaczenie funkcji ochrony „blokowania od pierwszego wejrzenia” Windows Defender w chmurze. Jeśli wyłączyłeś tę funkcję, myślę, że teraz pomyślisz jeszcze raz.

Referencje i kredyty

Włącz funkcję Block at First Sight, aby wykryć złośliwe oprogramowanie w ciągu kilku sekund
Poznaj Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanał 9

Wybór Redakcji