Πώς λειτουργεί το Windows Defender 'Block at First Sight' Cloud Protection Feature; - Winhelponline

How Windows Defender Block First Sight Cloud Protection Feature Works



Το Windows Defender ή η πλατφόρμα anti-malware της Microsoft προστατεύει τους οικιακούς υπολογιστές, τους διακομιστές και τις διαδικτυακές υπηρεσίες, όπως το Office 365. Με τον πλούτο των δεδομένων απειλής και τηλεμετρίας, το cloud backend του Defender είναι μια εκπληκτική υπηρεσία προστασίας από κακόβουλα προγράμματα.

μπλοκ αμυντικού με την πρώτη ματιά







Όταν ένα νέο κακόβουλο λογισμικό εμφανίζεται στην άγρια ​​φύση, μπορεί να χρειαστούν ώρες για την ομάδα αντι-κακόβουλου λογισμικού της Microsoft (ή οποιαδήποτε άλλη εταιρεία προστασίας από ιούς ή κακόβουλο λογισμικό) για το θέμα αυτό να αναλύσει, να αναστρέψει και να πραγματοποιήσει πυροδότηση κακόβουλου λογισμικού του αρχείου πριν από αυτό μπορεί να κυκλοφορήσει μια ενημέρωση υπογραφής. Και, για να μην αναφέρουμε το QC, πρέπει να περάσει η ενημέρωση υπογραφής.



Όσον αφορά την προστασία από κακόβουλα προγράμματα, δεν υπάρχει αμφιβολία ότι η προστασία βάσει υπογραφής είναι πρωταρχική. Αλλά αυτό δεν είναι αρκετό, καθώς μπορεί να μην είναι πάντα χρήσιμο - ειδικά στην περίπτωση ολοκαίνουργιου ή άγνωστου κακόβουλου λογισμικού. Σύμφωνα με την αναφορά της Microsoft όταν εμφανίζεται ένα νέο κακόβουλο λογισμικό, το 30% των υπολογιστών μολύνονται εντός των πρώτων τεσσάρων ωρών. Οι ενημερώσεις υπογραφών συνήθως έρχονται ώρες αργότερα.



μπλοκ αμυντικού με την πρώτη ματιά





Η ισχυρή προστασία του Windows Defender με βάση το cloud, από την άλλη πλευρά, χρησιμοποιεί ευρετικά, μοντέλα μηχανικής εκμάθησης και κάνει λεπτομερή ανάλυση στο backend για να προσδιορίσει εάν ένα αρχείο είναι κακόβουλο λογισμικό.

Η δυνατότητα προστασίας βάσει cloud του Windows Defender ή η λειτουργία 'αποκλεισμός κατά την πρώτη ματιά' είναι από προεπιλογή ενεργοποιημένη. Εάν έχετε απενεργοποιήσει την επιλογή προστασίας cloud στο Windows Defender λόγω ανησυχιών 'απορρήτου', καλύτερα να παρακολουθήσετε την επίδειξη από την ομάδα του Windows Defender Engineering, η οποία δείχνει πόσο αποτελεσματική μπορεί να είναι η προστασία cloud.



Βίντεο καναλιού 9: Εξερευνήστε την άμεση προστασία του Windows Defender | Microsoft Ignite 2016

Βεβαιωθείτε ότι το 'Block at First Sight' είναι ενεργοποιημένο

Κάντε κλικ στο Έναρξη, Ρυθμίσεις. (Ή πατήστε το WinKey + i)

Στη σελίδα Ρυθμίσεις, κάντε κλικ στην επιλογή Ενημέρωση και ασφάλεια και, στη συνέχεια, στο Windows Defender.

Σιγουρέψου ότι Προστασία βάσει cloud και Αυτόματη υποβολή δείγματος οι ρυθμίσεις είναι ενεργοποιημένες.

προστασία υπερασπιστή σύννεφο

Όταν οι επιλογές προστασίας από το σύννεφο 'Αποκλεισμός από την πρώτη ματιά' του Windows Defender και οι επιλογές υποβολής δείγματος είναι ενεργοποιημένες στις Ρυθμίσεις του Windows Defender, εάν το σύστημα συναντά ένα ύποπτο αρχείο το οποίο διαφορετικά περνά την ανίχνευση βάσει υπογραφής, το Defender αποστέλλει τα μεταδεδομένα του ύποπτου αρχείου στο backend cloud. Λάβετε υπόψη ότι το cloud δεν ζητά πάντα ολόκληρο το αρχείο.

Οι υπολογιστές στο cloud backend αναλύουν τα μεταδεδομένα, χρησιμοποιώντας τις διάφορες λογικές, τη φήμη URL και τα δεδομένα τηλεμετρίας για να προσδιορίσουν εάν το αρχείο είναι κακόβουλο λογισμικό.

Για παράδειγμα, εάν το όνομα αρχείου κακόβουλου λογισμικού ταιριάζει με το όνομα μιας βασικής λειτουργικής μονάδας Windows, το cloud backend ελέγχει την ψηφιακή υπογραφή της λειτουργικής μονάδας. Εάν δεν έχει υπογραφεί ή δεν έχει υπογραφεί από τη Microsoft και η 'ταξινόμηση' είναι κακόβουλο λογισμικό (με επίπεδο 'εμπιστοσύνης' 85%), τότε το σύννεφο προσδιορίζει ότι το αρχείο είναι κακόβουλο λογισμικό.

προστασία υπερασπιστή σύννεφο

Οι αξιολογήσεις «Ταξινόμηση» και «εμπιστοσύνη» που αποτελούν το πιο σημαντικό μέρος της ανάλυσης backend, λαμβάνονται μέσω του μοντέλου μηχανικής μάθησης.

Σε περίπτωση που το backend cloud δεν έχει ετυμηγορία, ζητά λεπτομερή ανάλυση ολόκληρου του αρχείου. Μέχρι να μεταφορτωθεί το αρχείο και το σύννεφο να επιβεβαιώσει την παραλαβή του, το Windows Defender κλειδώνει το αρχείο και δεν επιτρέπει την εκτέλεση στον υπολογιστή-πελάτη. Αυτή είναι μια βασική αλλαγή που έκανε η ομάδα του Windows Defender στην ενημέρωση των Windows 10 Anniversary (v1607).

Προηγουμένως, το ύποπτο αρχείο αφέθηκε να εκτελεστεί ενώ η μεταφόρτωση ήταν σε εξέλιξη, ταυτόχρονα. Ακόμη και πριν ολοκληρωθεί η μεταφόρτωση, το κακόβουλο λογισμικό θα είχε τελειώσει και θα αυτοκαταστράφηκε.

Ερχόμενοι στο demo της ομάδας Windows Defender Engineering, συζητήθηκαν δύο σενάρια. Στο Σενάριο 1, το backend cloud ταξινομεί ένα αρχείο ως κακόβουλο λογισμικό, με βάση μόνο τα μεταδεδομένα. Η συσκευή # 1 με προστασία cloud απενεργοποιημένη, μολύνεται κατά την εκτέλεση του αρχείου. Και η συσκευή # 2 με προστασία cloud είναι ενεργοποιημένη, προστατεύεται άμεσα.

Στο Σενάριο 2, ο πρώτος χρήστης εκτελεί ένα άγνωστο κακόβουλο λογισμικό. Το σύννεφο δεν κατέληξε σε ετυμηγορία βάσει των μεταδεδομένων, και έτσι ολόκληρο το αρχείο υποβλήθηκε αυτόματα.

Ο χρόνος υποβολής ήταν στις 19:48:59 ώρες - το backend ολοκλήρωσε την αυτοματοποιημένη ανάλυση στις 19:49:01 ώρες (~ 2 δευτερόλεπτα από τη στιγμή που η μεταφόρτωση έφτασε στο cloud backend) και διαπίστωσε ότι το αρχείο είναι κακόβουλο λογισμικό.

Από την ίδια στιγμή, το Windows Defender θα αποκλείσει τυχόν μελλοντικές συναντήσεις αυτού του αρχείου, προστατεύοντας έτσι εκατομμύρια άλλες συσκευές που έχουν ενεργοποιημένη την προστασία με βάση το Windows Defender.

Η Microsoft έχει επίσης έναν ιστότοπο δοκιμών που ονομάζεται Δοκιμαστικό πεδίο Windows Defender όπου μπορείτε να ελέγξετε την αποτελεσματικότητα της προστασίας cloud του Defender ανεβάζοντας δείγματα.

Παρόλο που η δεύτερη επίδειξη δεν πέτυχε λόγω ορισμένων ζητημάτων συνδεσιμότητας με το σύννεφο, συνολικά είναι μια χρήσιμη παρουσίαση που εξηγεί τη σημασία της δυνατότητας προστασίας που βασίζεται στο σύννεφο του Windows Defender 'με την πρώτη ματιά'. Εάν είχατε απενεργοποιήσει τη λειτουργία, υποθέτω ότι θα έχετε τώρα μια δεύτερη σκέψη.

Αναφορές & πιστώσεις

Ενεργοποιήστε τη λειτουργία Block at First Sight για να εντοπίσετε κακόβουλο λογισμικό εντός δευτερολέπτων
Εξερευνήστε την Άμεση προστασία του Windows Defender | Microsoft Ignite 2016 | Κανάλι 9


Ένα μικρό αίτημα: Εάν σας άρεσε αυτή η ανάρτηση, μοιραστείτε την;

Ένα «μικροσκοπικό» μερίδιο από εσάς θα βοηθούσε σοβαρά πολύ στην ανάπτυξη αυτού του ιστολογίου. Μερικές εξαιρετικές προτάσεις:
  • Καρφιτσώστε το!
  • Μοιραστείτε το στο αγαπημένο σας blog + Facebook, Reddit
  • Τιτίβισέ το!
Σας ευχαριστώ λοιπόν για την υποστήριξή σας, αναγνώστη μου. Δεν θα χρειαστούν περισσότερα από 10 δευτερόλεπτα από το χρόνο σας. Τα κουμπιά κοινής χρήσης βρίσκονται ακριβώς παρακάτω. :)