Kako funkcionira značajka zaštite u oblaku Windows Defender 'Blokiraj na prvi pogled'? - Winhelponline

How Windows Defender Block First Sight Cloud Protection Feature Works



Windows Defender ili Microsoftova platforma za zaštitu od zlonamjernog softvera štite kućna računala, poslužitelje i mrežne usluge kao što je Office 365. Uz bogatstvo podataka o prijetnjama i telemetriji, Defenderov oblak u pozadini zapanjujuća je usluga zaštite od zlonamjernog softvera.

blokade branitelja na prvi pogled







Kada se novi zlonamjerni softver pojavi u divljini, Microsoftovom timu za zaštitu od zlonamjernog softvera (ili bilo koje druge antivirusne ili anti-malware tvrtke) mogu proći sati da analizira, izvrši inverzni inženjering i izvrši detonaciju zlonamjernog softvera prije njega može objaviti ažuriranje potpisa. A da i ne spominjemo QC, ažuriranje potpisa mora proći.



Što se tiče zaštite od zlonamjernog softvera, ne može se poreći činjenica da je zaštita temeljena na potpisu glavna. Ali to nije dovoljno, jer možda neće uvijek pomoći - pogotovo u slučaju potpuno novog ili nepoznatog zlonamjernog softvera. Prema Microsoftovom izvješću kada se pojavi novi zlonamjerni softver, 30% računala zaraženo je u prva četiri sata. Ažuriranje potpisa obično dolazi satima kasnije.



blokade branitelja na prvi pogled





S druge strane, robusna zaštita u sustavu Windows Defender koristi heuristiku, model strojnog učenja i vrši detaljnu analizu na pozadini kako bi utvrdila je li datoteka zlonamjerni softver.

Značajka zaštite u oblaku ili 'blokiraj na prvi pogled' sustava Windows Defender omogućena je prema zadanim postavkama. Ako ste isključili opciju zaštite u oblaku u sustavu Windows Defender zbog zabrinutosti zbog 'privatnosti', bolje pogledajte demonstracijski tim tima Windows Defender Engineering, koji pokazuje koliko učinkovita zaštita u oblaku može biti.



Video kanala 9: Istražite trenutnu zaštitu programa Windows Defender | Microsoft Ignite 2016

Provjerite je li omogućena zaštita u oblaku 'Blokiraj na prvi pogled'

Kliknite Start, Postavke. (Ili pritisnite WinKey + i)

Na stranici Postavke kliknite Ažuriranje i sigurnost, a zatim Windows Defender.

Pobrinite se za to Zaštita zasnovana na oblaku i Automatsko predavanje uzorka postavke su omogućene.

branitelj zaštita u oblaku

Kada su u postavkama Windows Defendera omogućene zaštita u oblaku 'Blokiraj na prvi pogled' i mogućnosti slanja uzoraka u sustavu Windows Defender, ako sustav naiđe na sumnjivu datoteku koja inače prolazi detekciju na temelju potpisa, Defender metapodatke sumnjive datoteke šalje u pozadinu oblaka. Imajte na umu da oblak ne zahtijeva uvijek cijelu datoteku.

Strojevi u pozadini oblaka analiziraju metapodatke, koristeći razne logike, reputaciju URL-a i telemetrijske podatke kako bi utvrdili je li datoteka zlonamjerni softver.

Na primjer, ako se naziv datoteke zlonamjernog softvera podudara s imenom jezgrenog Windows modula, pozadina u oblaku provjerava digitalni potpis modula. Ako nije potpisan ili ga Microsoft nije potpisao, a 'klasifikacija' je zlonamjerni softver (s razinom 'pouzdanosti' 85%), tada oblak utvrđuje da je datoteka zlonamjerni softver.

branitelj zaštita u oblaku

Procjene „klasifikacije“ i „povjerenja“ koje čine najvažniji dio pozadinske analize dobivaju se kroz model strojnog učenja.

U slučaju da pozadina u oblaku ne donese presudu, traži cijelu datoteku za detaljnu analizu. Dok se datoteka ne prenese i oblak potvrdi primitak iste, Windows Defender zaključava datoteku i ne dopušta pokretanje na klijentu. To je ključna promjena koju je tim sustava Windows Defender napravio u ažuriranju obljetnice Windows 10 (v1607).

Prije se sumnjivoj datoteci dopuštalo sinkronizirano pokretanje dok je prijenos bio u tijeku. Čak i prije nego što je prijenos završen, zlonamjerni softver bi se završio i sam se uništio.

Dolazeći u demonstraciju tima za Windows Defender Engineering, razgovaralo se o dva scenarija. U scenariju 1, pozadina u oblaku klasificira datoteku kao zlonamjerni softver, samo na temelju metapodataka. Uređaj 1 s isključenom zaštitom u oblaku zaražava se prilikom pokretanja datoteke. A uređaj br. 2 s uključenom zaštitom u oblaku trenutno je zaštićen.

U scenariju 2, prvi korisnik pokreće nepoznati zlonamjerni softver. Oblak nije donio presudu na temelju metapodataka, pa je stoga cijela datoteka automatski poslana.

Vrijeme slanja bilo je u 19:48:59 sati - pozadina je dovršila automatiziranu analizu u 19:49:01 sati (~ 2 sekunde od trenutka kada je prijenos prešao u pozadinu u oblaku) i utvrdila je da je datoteka zlonamjerni softver.

Od samog trenutka, Windows Defender će blokirati sve buduće susrete s tom datotekom, štiteći tako milijune drugih uređaja koji imaju omogućenu zaštitu u oblaku utemeljenu na Windows Defenderu.

Microsoft također ima testno mjesto pod nazivom Probno mjesto za Windows Defender gdje učitavanjem uzoraka možete provjeriti učinkovitost Defenderove zaštite u oblaku.

Iako drugi pokaz nije uspio zbog nekih problema s povezivanjem s oblakom, sveukupno je korisna prezentacija koja objašnjava važnost značajke zaštite na temelju oblaka sustava Windows Defender 'blokiraj na prvi pogled'. Da ste isključili značajku, pretpostavljam da ćete sada malo razmisliti.

Reference i priznanja

Omogućite značajku Blokiraj na prvi pogled za otkrivanje zlonamjernog softvera u roku od nekoliko sekundi
Istražite trenutnu zaštitu Windows Defendera | Microsoft Ignite 2016 | Kanal 9


Jedan mali zahtjev: Ako vam se svidio ovaj post, molim vas podijelite ga?

Jedna vaša 'majušna' dionica ozbiljno bi pomogla rastu ovog bloga. Nekoliko sjajnih prijedloga:
  • Prikvačiti!
  • Podijelite ga sa svojim omiljenim blogom + Facebook, Reddit
  • Tweet ga!
Zato vam puno hvala na podršci, čitatelju. Neće vam trebati više od 10 sekundi vašeg vremena. Gumbi za dijeljenje nalaze se točno ispod. :)