Защитник Windows или платформа Microsoft для защиты от вредоносных программ защищает домашние компьютеры, серверы и онлайн-сервисы, такие как Office 365. Облачный бэкэнд Defender с огромным количеством данных об угрозах и телеметрии представляет собой потрясающую службу защиты от вредоносных программ.
Когда новое вредоносное ПО появляется в «дикой природе», команде Microsoft по борьбе с вредоносным ПО (или любой другой антивирусной или антивирусной компании в этом отношении) могут потребоваться часы, чтобы проанализировать, реконструировать и выполнить детонацию файла вредоносным ПО перед этим. может выпустить обновление сигнатуры. И, не говоря уже о QC, обновление подписи должно пройти.
Что касается защиты от вредоносных программ, нельзя отрицать тот факт, что защита на основе сигнатур имеет первостепенное значение. Но этого недостаточно, так как это не всегда может помочь, особенно в случае новых или неизвестных вредоносных программ. Согласно отчету Microsoft, когда появляется новое вредоносное ПО, 30% компьютеров заражаются в течение первых четырех часов. Обновления подписи обычно приходят через несколько часов.
С другой стороны, надежная облачная защита Защитника Windows использует эвристику, модель машинного обучения и выполняет подробный анализ на серверной части, чтобы определить, является ли файл вредоносным.
По умолчанию включена облачная защита Защитника Windows или функция «блокировка с первого взгляда». Если вы отключили опцию облачной защиты в Защитнике Windows из-за проблем с конфиденциальностью, вам лучше посмотреть демонстрацию от команды разработчиков Защитника Windows, которая показывает, насколько эффективной может быть облачная защита.
Видео на канале 9: изучение мгновенной защиты Защитника Windows | Microsoft Ignite 2016
Убедитесь, что включена облачная защита «Блокировать с первого взгляда».
Нажмите Пуск, Настройки. (Или нажмите WinKey + i)
На странице настроек нажмите «Обновление и безопасность», а затем «Защитник Windows».
Убедись, что Облачная защита и Автоматическая отправка образцов настройки включены.
Когда в настройках Защитника Windows включены облачная защита Защитника Windows «Блокировать с первого взгляда» и параметры отправки образцов, если система обнаруживает подозрительный файл, который в противном случае проходит обнаружение на основе сигнатур, Защитник отправляет метаданные подозрительного файла в облачный сервер. Обратите внимание, что облако не всегда запрашивает весь файл.
Машины на облачном сервере анализируют метаданные, используя различные логики, репутацию URL-адресов и данные телеметрии, чтобы определить, является ли файл вредоносным.
Например, если имя файла вредоносной программы совпадает с именем основного модуля Windows, облачный сервер проверяет цифровую подпись модуля. Если он не подписан или не подписан Microsoft, и его «классификация» относится к вредоносному ПО (с уровнем «достоверности» 85%), то облако определяет, что файл является вредоносным.
Оценки «Классификация» и «достоверность», которые составляют наиболее важную часть внутреннего анализа, получают с помощью модели машинного обучения.
В случае, если облачный бэкэнд не выносит вердикта, он запрашивает весь файл для детального анализа. Пока файл не будет загружен и облако не подтвердит его получение, Защитник Windows блокирует файл и не позволяет запускать его на клиенте. Это ключевое изменение, внесенное командой Защитника Windows в юбилейном обновлении Windows 10 (v1607).
Ранее подозрительный файл разрешался синхронно во время загрузки. Даже до завершения загрузки вредоносная программа завершила бы свою работу и самоуничтожилась.
Переходя к демонстрации команды разработчиков Защитника Windows, обсуждались два сценария. В сценарии 1 облачный бэкэнд классифицирует файл как вредоносное ПО только на основе метаданных. Устройство №1 с отключенной облачной защитой заражается при запуске файла. А устройство №2 с включенной облачной защитой мгновенно защищается.
В сценарии 2 первый пользователь запускает неизвестное вредоносное ПО. Облако не вынесло вердикта на основе метаданных, и поэтому весь файл был отправлен автоматически.
Время отправки было в 19:48:59 часов - серверная часть завершила автоматический анализ в 19:49:01 часов (~ 2 секунды с момента загрузки в облачный сервер) и определила, что файл является вредоносным.
С этого момента Защитник Windows будет блокировать любые будущие встречи с этим файлом, таким образом защищая миллионы других устройств, на которых включена облачная защита Защитника Windows.
У Microsoft также есть тестовый сайт под названием Тестовая площадка Защитника Windows где вы можете проверить эффективность облачной защиты Defender, загрузив образцы.
Хотя вторая демонстрация не увенчалась успехом из-за некоторых проблем с подключением к облаку, в целом это полезная презентация, которая объясняет важность функции облачной защиты «блокировка с первого взгляда» в Защитнике Windows. Если бы вы отключили эту функцию, я думаю, теперь у вас есть вторая мысль.
Ссылки и кредиты
Включите функцию блокировки с первого взгляда, чтобы обнаруживать вредоносное ПО за секунды
Изучите мгновенную защиту Защитника Windows | Microsoft Ignite 2016 | Канал 9
Одна небольшая просьба: если вам понравился этот пост, поделитесь им?
Одна «крошечная» публикация от вас серьезно помогла бы росту этого блога. Несколько отличных предложений:- Приколи это!
- Поделитесь этим в своем любимом блоге + Facebook, Reddit
- Твитнуть!