Windows Defender eller Microsoft's anti-malware-platform beskytter hjemmecomputere, servere og onlinetjenester såsom Office 365. Med rigdommen af trusselinformation og telemetri-data er Defenders cloud backend en forbløffende malware-beskyttelsestjeneste.
Når en ny malware vises i naturen, kan det tage timer for Microsoft anti-malware-teamet (eller ethvert andet antivirus- eller anti-malware-selskab for den sags skyld) at analysere, vende ingeniør og udføre malware-detonation af filen inden den kan frigive en signaturopdatering. Og for ikke at nævne det QC, signaturopdateringen skal gennem.
For så vidt angår malware-beskyttelse, er der ingen, der benægter det faktum, at signaturbaseret beskyttelse er den største. Men det er ikke tilstrækkeligt, da det måske ikke altid hjælper - især i tilfælde af splinterny eller ukendt malware. I henhold til Microsofts rapport, når en ny malware vises, er 30% af computere inficeret inden for de første fire timer. Signaturopdateringerne kommer normalt timer senere.
Windows Defenders robuste skybaserede beskyttelse bruger på den anden side heuristik, maskinlæringsmodel og udfører detaljeret analyse på bagsiden for at afgøre, om en fil er malware.
Windows Defender skybaseret beskyttelse eller "blok ved første blik" -funktion er som standard aktiveret. Hvis du har deaktiveret cloudbeskyttelsesmulighed i Windows Defender på grund af "privatlivets fred", skal du bedre se demoen fra Windows Defender Engineering-teamet, som viser, hvor effektiv skybeskyttelse kan være.
Channel 9 Video: Explore Windows Defender Instant Protection | Microsoft Ignite 2016
Sørg for, at “Blokering ved første øjekast” Cloudbeskyttelse er aktiveret
Klik på Start, Indstillinger. (Eller tryk på WinKey + i)
Klik på Update & Security på siden Indstillinger og derefter på Windows Defender.
Sørg for, at Cloud-baseret beskyttelse og automatisk prøveindgivelsesindstillinger er aktiveret.
Når Windows Defenders “Blok ved første blik” cloud-beskyttelse og indstillinger for prøveindgivelse er aktiveret i Windows Defender-indstillinger, hvis systemet støder på en mistænkelig fil, der ellers passerer signaturbaseret detektion, sender Defender metadataene til den mistænkelige fil til skyen backend. Bemærk, at skyen ikke altid anmoder om hele filen.
Maskinerne i cloud backend analyserer metadataene ved hjælp af de forskellige logikker, URL-omdømme og telemetri-data for at bestemme, om filen er malware.
For eksempel, hvis malware-filnavnet stemmer overens med navnet på et kerne-Windows-modul, kontrollerer cloud-backend modulets digitale signatur. Hvis det ikke er underskrevet eller ikke er underskrevet af Microsoft, og det er "klassificering" er malware (med "tillid" -niveau 85%), bestemmer skyen, at filen er malware.
Evalueringerne af "Klassificering" og "tillid", der udgør den vigtigste del af backend-analysen, opnås gennem maskinlæringsmodellen.
I tilfælde af at cloud backend ikke afgiver nogen dom, anmoder den om hele filen til en detaljeret analyse. Indtil filen er uploadet, og skyen bekræfter modtagelsen af den samme, låser Windows Defender filen og tillader ikke at køre på klienten. Det er en nøgleændring, som Windows Defender-teamet har foretaget i Windows 10-jubilæumsopdateringen (v1607).
Tidligere fik den mistænkelige fil tilladelse til at køre, mens uploaden var i gang, synkront. Selv før uploaden var afsluttet, ville malware være færdig med at køre og selv-ødelægge sig selv.
Da vi kom til Windows Defender Engineering-teamets demo, blev der diskuteret to scenarier. I scenarie 1 klassificerer cloud-backend en fil som malware, kun baseret på metadata. Enhed nr. 1 med skybeskyttelse slået fra, bliver inficeret, når filen køres. Og enhed nr. 2 med skybeskyttelse Til, er øjeblikkeligt beskyttet.
I Scenario 2 kører den første bruger en ukendt malware. Skyen opnåede ingen dom baseret på metadataene, og dermed blev hele filen automatisk fremsendt.
Indsendelsestiden var kl 19:48:59 timer - backend afsluttede den automatiske analyse kl 19:49:01 timer (~ 2 sekunder fra det tidspunkt, uploaden ramte cloud backend) og bestemte, at filen er malware.
Fra det øjeblik blokerer Windows Defender eventuelle fremtidige møder med denne fil og beskytter således millioner af andre enheder, der har Windows Defender skybaseret beskyttelse aktiveret.
Microsoft har også et teststed med navnet Windows Defender Testground, hvor du kan kontrollere effektiviteten af Defenders skybeskyttelse ved at uploade prøver.
Selvom den anden demo ikke lykkedes på grund af nogle forbindelsesproblemer med skyen, er det generelt en nyttig præsentation, der forklarer vigtigheden af Windows Defenders “blok ved første blik” skybaseret beskyttelsesfunktion. Hvis du havde slået funktionen fra, antager jeg, at du nu har en anden tanke.
Referencer og kreditter
Aktivér funktionen Blok ved første syn for at opdage malware inden for få sekunder
Udforsk øjeblikkelig beskyttelse af Windows Defender | Microsoft Ignite 2016 | Kanal 9