Windows Defender vai Microsoft pretvīrusu programmatūras platforma aizsargā mājas datorus, serverus un tiešsaistes pakalpojumus, piemēram, Office 365. Ar lielu draudu izlūkošanas un telemetrijas datu klāstu Defender mākoņa aizmugure ir pārsteidzošs ļaunprātīgas programmatūras aizsardzības pakalpojums.
Kad jauna ļaunprātīga programmatūra parādās savvaļā, var paiet vairākas stundas, līdz Microsoft pretvīrusu programmatūras komanda (vai jebkura cita pretvīrusu vai pretvīrusu programmatūras kompānija šajā jautājumā) analizē, reversē inženieru un veic faila detonāciju pirms tā. var atbrīvot paraksta atjauninājumu. Un nemaz nerunājot par QC, paraksta atjauninājumam ir jāiet cauri.
Kas attiecas uz aizsardzību pret ļaunprātīgu programmatūru, nevar noliegt faktu, ka paraksta aizsardzība ir galvenā. Bet tas nav pietiekami, jo tas ne vienmēr var palīdzēt - it īpaši pavisam jaunu vai nezināmu ļaunprogrammatūru gadījumā. Saskaņā ar Microsoft ziņojumu, kad parādās jauna ļaunprātīga programmatūra, 30% datoru ir inficēti pirmajās četrās stundās. Parakstu atjaunināšana parasti notiek stundas vēlāk.
Savukārt Windows Defender spēcīgā aizsardzība, kas balstīta uz mākoņiem, izmanto heiristiku, mašīnmācīšanās modeli un aizmugurē veic detalizētu analīzi, lai noteiktu, vai fails ir ļaunprātīga programmatūra.
Windows Defender uz mākoņa balstīta aizsardzība vai funkcija “bloķēt no pirmā acu uzmetiena” pēc noklusējuma ir iespējota. Ja Windows Defender esat izslēdzis mākoņa aizsardzības opciju “privātuma” problēmu dēļ, labāk noskatieties Windows Defender Engineering komandas demonstrāciju, kas parāda, cik efektīva var būt aizsardzība pret mākoņiem.
9. kanāla video: izpētiet Windows Defender tūlītējo aizsardzību | Microsoft Ignite 2016
Pārliecinieties, vai ir iespējota mākoņa aizsardzība “Bloķēt no pirmā acu uzmetiena”
Noklikšķiniet uz Sākt, Iestatījumi. (Vai nospiediet WinKey + i)
Lapā Iestatījumi noklikšķiniet uz Atjaunināt un drošība un pēc tam uz Windows Defender.
Pārliecinies ka Mākoņa aizsardzība un Automātiska paraugu iesniegšana iestatījumi ir iespējoti.
Ja Windows Defender iestatījumos ir iespējota Windows Defender mākoņa aizsardzība un bloķēšanas no pirmā acu uzmetiena opcijas un iesniegšanas paraugu opcijas, ja sistēma sastop aizdomīgu failu, kas citādi iztur uz parakstu balstītu noteikšanu, Defender aizdomīgā faila metadatus nosūta mākoņa aizmugurē. Ņemiet vērā, ka mākonis ne vienmēr pieprasa visu failu.
Mākoņa aizmugurē esošās mašīnas analizē metadatus, izmantojot dažādas loģikas, URL reputācijas un telemetrijas datus, lai noteiktu, vai fails ir ļaunprātīga programmatūra.
Piemēram, ja ļaunprātīgas programmatūras faila nosaukums sakrīt ar galvenā Windows moduļa nosaukumu, mākoņa aizmugure pārbauda moduļa digitālo parakstu. Ja tas nav parakstīts vai nav Microsoft parakstīts, un tā “klasifikācija” ir ļaunprātīga programmatūra (ar “pārliecības” līmeni 85%), tad mākonis nosaka, ka fails ir ļaunprātīga programmatūra.
“Klasifikācijas” un “uzticamības” novērtējumi, kas veido vissvarīgāko aizmugures analīzes daļu, tiek iegūti, izmantojot mašīnmācīšanās modeli.
Gadījumā, ja mākoņa aizmugure nenosaka spriedumu, tā pieprasa visu failu detalizētai analīzei. Kamēr fails nav augšupielādēts un mākonis apstiprina tā saņemšanu, Windows Defender bloķē failu un neļauj darboties klientā. Tās ir galvenās izmaiņas, ko Windows Defender komanda ir veikusi Windows 10 gadadienas atjauninājumā (v1607).
Iepriekš aizdomīgais fails tika atļauts palaist sinhroni, kamēr notiek augšupielāde. Pat pirms augšupielādes pabeigšanas ļaunprogrammatūra būtu beigusi darboties un pati sevi iznīcināt.
Nākot uz Windows Defender Engineering komandas demonstrāciju, tika apspriesti divi scenāriji. 1. scenārijā mākoņa aizmugure failu klasificē kā ļaunprātīgu programmatūru, tikai pamatojoties uz metadatiem. 1. ierīce ar izslēgtu mākoņa aizsardzību tiek inficēta, palaižot failu. Un ierīce Nr. 2 ar ieslēgtu mākoņa aizsardzību ir nekavējoties aizsargāta.
2. scenārijā pirmais lietotājs palaiž nezināmu ļaunprātīgu programmatūru. Mākonis nepieņēma spriedumu, pamatojoties uz metadatiem, un tādējādi viss fails tika automātiski iesniegts.
Iesniegšanas laiks bija 19:48:59 stundas - aizmugurējā daļa automatizēto analīzi pabeidza 19:49:01 stundā (~ 2 sekundes no brīža, kad augšupielāde sasniedza mākoņa aizmuguri) un noteica, ka fails ir ļaunprātīga programmatūra.
Jau no šī brīža Windows Defender bloķēs jebkādas turpmākas šī faila sastapšanās, tādējādi aizsargājot miljoniem citu ierīču, kurās ir iespējota Windows Defender mākoņa aizsardzība.
Microsoft ir arī testa vietne ar nosaukumu Windows Defender Testground kur varat pārbaudīt Defender mākoņa aizsardzības efektivitāti, augšupielādējot paraugus.
Lai gan otrā demonstrācija neizdevās dažu mākoņa savienojamības problēmu dēļ, kopumā tā ir noderīga prezentācija, kas izskaidro Windows Defender mākoņa aizsardzības funkcijas “bloķēt no pirmā acu uzmetiena” nozīmi. Ja jūs būtu izslēdzis šo funkciju, es domāju, ka tagad jums būs otra doma.
Atsauces un kredīti
Iespējojiet funkciju Bloķēt no pirmā acu uzmetiena, lai dažu sekunžu laikā atklātu ļaunprātīgu programmatūru
Izpētiet Windows Defender tūlītējo aizsardzību | Microsoft Ignite 2016 | 9. kanāls
Viens neliels pieprasījums: ja jums patika šī ziņa, lūdzu, dalieties ar šo?
Viena “niecīga” daļa no jums nopietni palīdzētu daudz palielināt šo emuāru. Daži lieliski ieteikumi:- Piespraud to!
- Kopīgojiet to savā iecienītākajā emuārā + Facebook, Reddit
- Čivināt to!