Windows Defender eller Microsofts anti-malware-plattform skyddar hemdatorer, servrar och onlinetjänster som Office 365. Med den stora mängden hotinformation och telemetrodata är Defenders molnbackend en häpnadsväckande skyddstjänst för skadlig kod.
När en ny skadlig kod dyker upp i naturen kan det ta timmar för Microsofts anti-malware-team (eller något annat antivirus- eller antivirusföretag för den delen) att analysera, omvandla och utföra skadlig detonering av filen innan den kan släppa en signaturuppdatering. Och för att inte tala om QC måste signaturuppdateringen passera.
När det gäller skydd mot skadlig programvara kan man inte förneka att signaturbaserat skydd är det bästa. Men det räcker inte, eftersom det kanske inte alltid hjälper - särskilt när det gäller helt ny eller okänd skadlig kod. Enligt Microsofts rapport när en ny skadlig kod visas infekteras 30% av datorerna under de första fyra timmarna. Signaturuppdateringarna kommer vanligtvis timmar senare.
Windows Defenders robusta molnbaserade skydd använder å andra sidan heuristik, maskininlärningsmodell och gör detaljerad analys i backend för att avgöra om en fil är skadlig.
Windows Defender molnbaserat skydd eller ”blockera vid första anblicken” -funktionen är som standard aktiverad. Om du har inaktiverat molnskyddsalternativet i Windows Defender på grund av 'integritetsskydd', kan du bättre titta på demon av Windows Defender Engineering-teamet, som visar hur effektivt molnskydd kan vara.
Kanal 9-video: Utforska Windows Defender Instant Protection | Microsoft Ignite 2016
Se till att 'Block at First Sight' Cloud Protection är aktiverat
Klicka på Start, Inställningar. (Eller tryck på WinKey + i)
På sidan Inställningar klickar du på Uppdatera och säkerhet och sedan på Windows Defender.
Se till att Molnbaserat skydd och Automatisk inlämning av prov inställningarna är aktiverade.
När Windows Defenders molnskydd 'Blockera vid första anblicken' är aktiverat i Windows Defender-inställningar, om systemet stöter på en misstänkt fil som annars skickar signaturbaserad detektering, skickar Defender metadata för den misstänkta filen till molnbacken. Observera att molnet inte alltid begär hela filen.
Maskinerna på molnens backend analyserar metadata och använder sig av olika logik, URL-rykte och telemetridata för att avgöra om filen är skadlig.
Om till exempel filnamnet för skadlig programvara matchar namnet på en kärn-Windows-modul, kontrollerar molnbacken modulens digitala signatur. Om det är osignerat eller inte signerat av Microsoft, och det är 'klassificering' är skadlig programvara (med 'konfidensnivå' 85%), bestämmer molnet att filen är skadlig kod.
Bedömningarna 'Klassificering' och 'förtroende' som utgör den viktigaste delen av backend-analysen erhålls genom maskininlärningsmodellen.
Om molnbacken inte ger någon bedömning begär den hela filen för en detaljerad analys. Innan filen laddas upp och molnet bekräftar mottagandet av detsamma låser Windows Defender filen och tillåter inte att den körs på klienten. Det är en viktig förändring som Windows Defender-teamet har gjort i Windows 10 Anniversary Update (v1607).
Tidigare fick den misstänkta filen köras medan uppladdningen pågår, synkront. Redan innan överföringen slutfördes skulle skadlig programvara ha körts och självförstört sig själv.
När vi kom till Windows Defender Engineering-teamets demo diskuterades två scenarier. I Scenario 1 klassificerar molnbacken en fil som skadlig kod, endast baserat på metadata. Enhet nr 1 med molnskydd avstängt, smittas när filen körs. Och enhet nr 2 med molnskydd på, skyddas omedelbart.
I Scenario 2 kör den första användaren en okänd skadlig kod. Molnet nådde ingen dom baserat på metadata, och därmed skickades hela filen automatiskt in.
Inlämningstiden var klockan 19:48:59 timmar - backend slutförde den automatiska analysen kl 19:49:01 timmar (~ 2 sekunder från det att uppladdningen träffade molnbackend) och bestämde att filen var skadlig.
Från och med det ögonblicket skulle Windows Defender blockera framtida möten med den filen och därmed skydda miljontals andra enheter som har Windows Defender-molnbaserat skydd aktiverat.
Microsoft har också en testplats som heter Windows Defender Testground där du kan kontrollera effektiviteten av Defenders molnskydd genom att ladda upp prover.
Även om den andra demonstrationen inte lyckades på grund av vissa anslutningsmöjligheter till molnet är det totalt sett en användbar presentation som förklarar vikten av Windows Defenders molnbaserade skyddsfunktion 'blockera vid första anblicken'. Om du hade stängt av funktionen antar jag att du nu tänker igen.
Referenser & poäng
Aktivera funktionen Blockera vid första synen för att upptäcka skadlig kod inom några sekunder
Utforska Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanal 9
En liten begäran: Om du gillade det här inlägget, vänligen dela det här?
En 'liten' andel från dig skulle på allvar hjälpa till mycket med bloggens tillväxt. Några bra förslag:- Kläm fast det!
- Dela det till din favoritblogg + Facebook, Reddit
- Tweeta det!