Windows Defender või Microsofti pahavaratõrje platvorm kaitseb kodus olevaid arvuteid, servereid ja veebiteenuseid, nagu Office 365. Ohtrite luure- ja telemeetriandmete rohkusega on Defenderi pilveteenus hämmastav pahavara kaitseteenus.
Kui looduses ilmub uus pahavara, võib Microsofti pahavaratõrjemeeskond (või mõni muu viirusetõrje- või pahavaratõrjeettevõte) analüüsida, ümber töötada ja pahavara detoneerida enne seda, kui faili saab saab välja anda allkirja värskenduse. Ja QC-st rääkimata peab allkirja värskendus läbi minema.
Mis puutub pahavara kaitsesse, siis ei saa eitada fakti, et allkirjapõhine kaitse on esmatähtis. Kuid see ei ole piisav, sest see ei pruugi alati aidata - eriti uhiuue või tundmatu pahavara puhul. Vastavalt Microsofti aruandele on uue pahavara ilmnemisel 30% arvutitest nakatunud esimese nelja tunni jooksul. Allkirja värskendused tulevad tavaliselt tunde hiljem.
Windows Defenderi tugev pilvepõhine kaitse seevastu kasutab heuristikat, masinõppe mudelit ja teeb taustaprogrammis üksikasjaliku analüüsi, et teha kindlaks, kas fail on pahavara.
Windows Defenderi pilvepõhine kaitse või funktsioon „Esmapilgul blokeerimine” on vaikimisi lubatud. Kui olete Windows Defenderis privaatsusprobleemide tõttu pilvekaitsevõimaluse välja lülitanud, vaadake parem Windows Defender Engineeringu meeskonna demot, mis näitab, kui tõhus võib olla pilvekaitse.
Kanali 9 video: uurige Windows Defenderi kiiret kaitset | Microsoft Ignite 2016
Veenduge, et pilvikaitse „Blokeeri esimesest silmapilgust” oleks lubatud
Klõpsake nuppu Start, Seaded. (Või vajutage WinKey + i)
Klõpsake lehel Seaded käsku Värskendus ja turvalisus ning seejärel Windows Defender.
Veendu, et Pilvepõhine kaitse ja Automaatne valimi esitamine seaded on lubatud.
Kui Windows Defenderi pilvekaitse „Esmapilgul blokeerimine” ja näidiste esitamise valikud on Windows Defenderi seadetes lubatud, kui süsteem satub kahtlase failiga, mis muidu läbib allkirjapõhise tuvastuse, saadab Defender kahtlase faili metaandmed pilve taustaprogrammi. Pange tähele, et pilv ei taotle alati kogu faili.
Pilv-taustaprogrammi masinad analüüsivad metaandmeid, kasutades selleks erinevaid loogikaid, URL-i mainet ja telemeetriaandmeid, et teha kindlaks, kas fail on pahavara.
Näiteks kui pahavara failinimi vastab Windowsi tuummooduli nimele, kontrollib pilveteenus mooduli digitaalallkirja. Kui see on allkirjastamata või Microsofti allkirjastamata ja selle klassifikatsioon on pahavara (usaldustaseme 85%), määrab pilv faili pahavaraks.
“Klassifikatsiooni” ja “usalduse” hinnangud, mis moodustavad taustaprogrammi olulisima osa, saadakse masinõppemudeli abil.
Juhul kui pilveteenuse taustal puudub otsus, nõuab see kogu faili üksikasjaliku analüüsi jaoks. Kuni fail on üles laaditud ja pilv selle kinnituse kinnitab, lukustab Windows Defender faili ega luba kliendil töötada. See on võtmemuudatus, mille Windows Defenderi meeskond on teinud Windows 10 aastapäeva värskenduses (v1607).
Varem lubati kahtlast faili sünkroonselt käivitada üleslaadimise ajal. Isegi enne üleslaadimise lõppu oleks pahavara töötamise lõpetanud ja ennast ise hävitanud.
Tulles Windows Defender Engineeringu meeskonna demo juurde, arutati kahte stsenaariumi. 1. stsenaariumi järgi klassifitseerib pilveteenus faili pahavaraks, tuginedes ainult metaandmetele. Seade nr 1, mille pilvekaitse on välja lülitatud, nakatub faili käivitamisel. Ja seade nr 2, mille pilvekaitse on sees, on koheselt kaitstud.
2. stsenaariumis käivitab esimene kasutaja tundmatu pahavara. Pilv ei jõudnud metaandmete põhjal kohtuotsuseni ja seega esitati kogu fail automaatselt.
Esitamise aeg oli 19:48:59 tundi - taustaprogramm viis automatiseeritud analüüsi lõpule kell 19:49:01 tundi (~ 2 sekundit pilve taustaprogrammi üleslaadimise ajast) ja tegi kindlaks, et fail on pahavara.
Alates hetkest blokeeris Windows Defender selle faili edaspidised kohtumised, kaitstes seeläbi miljoneid muid seadmeid, millel on Windows Defenderi pilvepõhine kaitse lubatud.
Microsoftil on ka testsait nimega Windows Defenderi testimisala kuhu saate proovide üleslaadimisega kontrollida Defenderi pilvekaitse tõhusust.
Kuigi teine demo ei õnnestunud pilvega seotud mõningate ühenduvusprobleemide tõttu, on see üldiselt kasulik esitlus, mis selgitab Windows Defenderi pilvepõhise kaitsefunktsiooni „esmapilgul blokeerimine” olulisust. Kui oleksite selle funktsiooni välja lülitanud, on teil nüüd teine mõte.
Viited ja autorid
Lubage funktsioon Blokeeri esmapilgul, et pahavara sekunditega tuvastada
Avastage Windows Defenderi kiirkaitse | Microsoft Ignite 2016 | Kanal 9
Üks väike taotlus: kui teile see postitus meeldis, siis palun jagage seda?
Üks „pisike” aktsia teilt aitaks tõsiselt selle blogi kasvu. Mõned suurepärased ettepanekud:- Kinnitage see!
- Jagage seda oma lemmikblogis + Facebookis, Redditis
- Piiksutage seda!