Kaip veikia „Windows Defender“ „Blokuoti iš pirmo žvilgsnio“ debesies apsaugos funkcija?

2018-05-18 10:54:35
Pagrindinis·Microsoft·Kaip veikia „Windows Defender“ „Blokuoti iš pirmo žvilgsnio“ debesies apsaugos funkcija?

„Windows Defender“ arba „Microsoft“ kenkėjiškų programų platforma saugo namų kompiuterius, serverius ir internetines paslaugas, tokias kaip „Office 365“. Turėdama daugybę grėsmių žvalgybos ir telemetrijos duomenų, „Defender“ debesies programos yra stulbinančios apsaugos nuo kenkėjiškų programų paslauga.

Kai gamtoje pasirodo nauja kenkėjiška programa, gali prireikti valandų, kol „Microsoft“ kenkėjiškų programų komanda (arba bet kuri kita antivirusinę ar kenkėjiškas programas turinti įmonė) išanalizuos, pakeis inžinierių ir atliks prieš tai esančio failo kenkėjiškų programų detonaciją. gali išleisti parašo atnaujinimą. Ir jau neminint QC, kurį turi perduoti parašo atnaujinimas.

Kalbant apie apsaugą nuo kenkėjiškų programų, negalima paneigti fakto, kad parašais pagrįsta apsauga yra svarbiausia. Bet to nepakanka, nes tai ne visada gali padėti - ypač visiškai naujos ar nežinomos kenkėjiškos programos atveju. Remiantis „Microsoft“ ataskaita, kai atsiranda nauja kenkėjiška programinė įranga, 30% kompiuterių yra užkrėsti per pirmąsias keturias valandas. Parašo atnaujinimai paprastai būna po kelių valandų.

Kita vertus, tvirta „Windows Defender“ apsauga, pagrįsta debesimis, naudoja euristiką, mašininio mokymosi modelį ir atlieka išsamią analizę užpakalinėje programoje, kad nustatytų, ar failas nėra kenkėjiška programa.

„Windows Defender“ apsauga nuo debesies arba „blokuoti iš pirmo žvilgsnio“ funkcija pagal numatytuosius nustatymus yra įjungta. Jei „Windows Defender“ išjungėte apsaugos nuo debesies parinktį dėl „privatumo“ problemų, geriau žiūrėkite „Windows Defender“ inžinerijos komandos demonstracinę versiją, kuri parodo, kokia efektyvi gali būti apsauga nuo debesies.

9 kanalo vaizdo įrašas: tyrinėkite tiesioginę „Windows Defender“ apsaugą | „Microsoft Ignite 2016“

Įsitikinkite, kad įjungta apsauga nuo debesies

Spustelėkite Pradėti, nustatymai. (Arba paspauskite „WinKey + i“)

Puslapyje „Nustatymai“ spustelėkite „Atnaujinti ir sauga“, tada „Windows Defender“.

Įsitikinkite, kad įjungti „ Cloud-based Protection“ ir automatinio pavyzdžių pateikimo parametrai.

Kai „Windows Defender“ „Windows Defender“ apsaugota „Blokuoti iš pirmo žvilgsnio“ debesies apsaugą ir pavyzdžių pateikimo parinktis, jei sistema aptinka įtartiną failą, kuris kitu atveju praeina parašu pagrįstą aptikimą, „Defender“ siunčia įtartino failo metaduomenis į debesies programinę įrangą. Atminkite, kad debesis ne visada reikalauja viso failo.

Debesies užpakalinės mašinos analizuoja metaduomenis, naudodamos įvairią logiką, URL reputaciją ir telemetrijos duomenis, kad nustatytų, ar failas nėra kenkėjiška programa.

Pvz., Jei kenkėjiškos programos failo vardas sutampa su pagrindinio „Windows“ modulio pavadinimu, „debesies“ programa patikrina modulio skaitmeninį parašą. Jei jis nepasirašytas arba nepasirašytas „Microsoft“ ir „klasifikacija“ yra kenkėjiška programa („pasitikėjimo lygis“ yra 85%), debesis nustato, ar failas yra kenkėjiška programa.

„Klasifikavimo“ ir „pasitikėjimo savimi“ vertinimai, kurie yra pati svarbiausia užduoties analizės dalis, yra gaunami naudojant kompiuterinio mokymosi modelį.

Jei debesijos užpakalinė dalis nepriimtų verdikto, ji paprašo viso failo atlikti išsamią analizę. Kol failas nebus įkeltas ir debesis nepatvirtins jo gavimo, „Windows Defender“ užrakina failą ir neleidžia jo naudoti kliente. Tai yra pagrindinis „Windows Defender“ komandos pakeitimas „Windows 10“ jubiliejaus atnaujinime (v1607).

Anksčiau įtartinam failui buvo leista paleisti sinchroniškai, kol įkeliama. Net prieš įkeliant kenkėjišką programinę įrangą ji būtų paleista ir pati sunaikinta.

Ateinant į „Windows Defender Engineering“ komandos demonstracinę versiją, buvo aptarti du scenarijai. 1 scenarijuje debesies užpakalinis failas klasifikuojamas kaip kenkėjiška programinė įranga tik remiantis metaduomenimis. Įrenginys Nr. 1 su apsauga iš debesies yra išjungtas, užkrėstas paleisdamas failą. O įrenginys Nr. 2 su įjungta apsauga nuo debesies yra iškart apsaugotas.

2 scenarijuje pirmasis vartotojas paleidžia nežinomą kenkėjišką programą. Remdamasis metaduomenimis debesis nepriėmė jokio verdikto, todėl visas failas buvo pateiktas automatiškai.

Pateikimo laikas buvo 19:48:59 valandos - „backend“ baigė automatinę analizę 19:49:01 valandą (~ 2 sekundės nuo įkėlimo į debesies programos versiją) ir nustatė, kad failas yra kenkėjiška programa.

Nuo pat akimirkos „Windows Defender“ užblokuos bet kokius būsimus šio failo atvejus ir taip apsaugos milijonus kitų įrenginių, kuriuose įjungta „Windows Defender“ apsauga debesų pagrindu.

„Microsoft“ taip pat turi bandymų svetainę, pavadintą „Windows Defender Testground“, kurioje galite patikrinti „Defender“ apsaugos nuo debesies efektyvumą įkeldami pavyzdžius.

Nors antroji demonstracinė versija nepavyko dėl tam tikrų su debesiu susijusių problemų, iš esmės tai naudinga prezentacija, paaiškinanti „Windows Defender“ „blokuoti iš pirmo žvilgsnio“ debesies apsaugos funkcijos svarbą. Jei būtumėte išjungę šią funkciją, manau, dabar turėtumėte antrą mintį.

Nuorodos ir kreditai

Įjunkite funkciją Blokuoti iš pirmo žvilgsnio, kad per kelias sekundes aptiktų kenkėjiškas programas
Naršykite tiesioginę „Windows Defender“ apsaugą „Microsoft Ignite 2016“ | 9 kanalas

Redaktoriaus Pasirinkimas