Windows Defender eller Microsofts anti-malware-platform beskytter hjemmecomputere, servere og onlinetjenester såsom Office 365. Med det store trusselsintelligens og telemetri-data er Defenders cloud-backend en forbløffende beskyttelse af malware.
Når en ny malware vises i naturen, kan det tage timer for Microsoft-anti-malware-teamet (eller ethvert andet antivirus- eller anti-malware-firma for den sags skyld) at analysere, reverse engineer og udføre malware-detonation af filen, før den kan frigive en signaturopdatering. Og for ikke at nævne QC, skal signaturopdateringen passere.
For så vidt angår malware-beskyttelse, nægtes det ikke, at signaturbaseret beskyttelse er førsteklasses. Men det er ikke tilstrækkeligt, da det måske ikke altid hjælper - især i tilfælde af splinterny eller ukendt malware. I henhold til Microsofts rapport, når en ny malware vises, er 30% af computerne inficeret inden for de første fire timer. Signaturopdateringerne kommer normalt timer senere.
Windows Defenders robuste skybaserede beskyttelse bruger på den anden side heuristik, maskinindlæringsmodel og udfører detaljeret analyse i backend for at afgøre, om en fil er malware.
Windows Defender skybaseret beskyttelse eller 'blok ved første øjekast' -funktion er som standard aktiveret. Hvis du har slået skybeskyttelsesmulighed fra i Windows Defender på grund af 'privatlivets fred', skal du bedre se demoen fra Windows Defender Engineering-teamet, som viser, hvor effektiv skybeskyttelse kan være.
Kanal 9-video: Udforsk øjeblikkelig beskyttelse af Windows Defender | Microsoft Ignite 2016
Sørg for, at 'Blok ved første øjekast' Cloud Protection er aktiveret
Klik på Start, Indstillinger. (Eller tryk på WinKey + i)
Klik på Opdatering og sikkerhed på siden Indstillinger og derefter på Windows Defender.
Sørg for at Cloudbaseret beskyttelse og Automatisk prøveindsendelse indstillinger er aktiveret.
Når Windows Defenders 'Blokering ved første øjekast' skybeskyttelse og eksempler på indsendelsesmuligheder er aktiveret i Windows Defender-indstillinger, hvis systemet støder på en mistænkelig fil, som ellers overfører signaturbaseret detektion, sender Defender metadata for den mistænkelige fil til skybackend. Bemærk, at skyen ikke altid anmoder om hele filen.
Maskinerne på cloud-backend analyserer metadataene ved hjælp af de forskellige logik, URL-omdømme og telemetridata for at afgøre, om filen er malware.
For eksempel, hvis malware-filnavnet matcher navnet på et kerne Windows-modul, kontrollerer cloud-backend modulets digitale signatur. Hvis det ikke er underskrevet eller ikke er underskrevet af Microsoft, og det er 'klassificering' er malware (med 'tillid' -niveau 85%), bestemmer skyen, at filen er malware.
Vurderingerne 'Klassificering' og 'tillid', der udgør den vigtigste del af backend-analysen, opnås gennem maskinlæringsmodellen.
Hvis cloud-backend ikke kommer med nogen dom, anmoder den hele filen om en detaljeret analyse. Indtil filen uploades, og skyen bekræfter modtagelsen af den samme, låser Windows Defender filen og tillader ikke at køre på klienten. Det er en vigtig ændring, som Windows Defender-teamet har foretaget i Windows 10 Anniversary Update (v1607).
Tidligere fik den mistænkelige fil lov til at køre, mens upload var i gang, synkront. Selv før uploadet var afsluttet, ville malware være kørt og selvdestrueret sig selv.
Når vi kom til Windows Defender Engineering-teamets demo, blev der diskuteret to scenarier. I Scenario 1 klassificerer cloud-backend en fil som malware, kun baseret på metadataene. Enhed nr. 1 med skybeskyttelse slået fra, bliver inficeret, når filen køres. Og enhed nr. 2 med skybeskyttelse til, er øjeblikkeligt beskyttet.
I Scenario 2 kører den første bruger en ukendt malware. Skyen nåede ingen dom baseret på metadataene, og dermed blev hele filen automatisk indsendt.
Indsendelsestidspunktet var kl. 19:48:59 timer - backend afsluttede den automatiske analyse kl. 19:49:01 timer (~ 2 sekunder fra det tidspunkt, uploaden ramte cloud-backend) og fastslog, at filen er malware.
Fra det øjeblik ville Windows Defender blokere fremtidige møder med denne fil og dermed beskytte millioner af andre enheder, der har Windows Defender skybaseret beskyttelse aktiveret.
Microsoft har også et teststed med navnet Windows Defender testplads hvor du kan kontrollere effektiviteten af Defenders skybeskyttelse ved at uploade prøver.
Selvom den anden demo ikke lykkedes på grund af nogle forbindelsesproblemer med skyen, er det generelt en nyttig præsentation, der forklarer vigtigheden af Windows Defenders sky-baserede beskyttelsesfunktion 'blok ved første øjekast'. Hvis du havde slået funktionen fra, antager jeg, at du nu tænker dig om.
Referencer og kreditter
Aktivér funktionen Block at First Sight for at opdage malware inden for få sekunder
Udforsk Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanal 9
En lille anmodning: Hvis du kunne lide dette indlæg, så del dette?
En 'lille' andel fra dig ville alvorligt hjælpe meget med væksten i denne blog. Nogle gode forslag:- Pin det!
- Del det til din yndlingsblog + Facebook, Reddit
- Tweet det!