Windows Defender tai Microsoftin haittaohjelmien torjunta-alusta suojaa kotitietokoneita, palvelimia ja online-palveluja, kuten Office 365. Defenderin pilvitaustayksikkö on hämmästyttävä haittaohjelmien torjuntapalvelu, ja siinä on runsaasti uhkatietoja ja telemetriatietoja.
Kun uusi haittaohjelma ilmestyy luonnossa, voi kestää tunteja, ennen kuin Microsoftin haittaohjelmien torjuntaryhmä (tai mikä tahansa muu virustentorjunta- tai haittaohjelmien torjuntayritys) analysoi, suunnittelee ja tekee tiedostosta haittaohjelmien räjähdyksen ennen sitä voi julkaista allekirjoituspäivityksen. Ja puhumattakaan laadunvalvonnasta, allekirjoituksen päivityksen on läpäistävä.
Haittaohjelmien torjunnassa ei voida kiistää sitä, että allekirjoitukseen perustuva suojaus on ensisijaisen tärkeää. Se ei kuitenkaan riitä, koska se ei välttämättä aina auta - etenkään upouuden tai tuntemattoman haittaohjelman tapauksessa. Microsoftin raportin mukaan uuden haittaohjelman ilmestyessä 30% tietokoneista on saanut tartunnan neljän ensimmäisen tunnin aikana. Allekirjoitusten päivitykset tulevat yleensä tunteja myöhemmin.
Windows Defenderin vankka pilvipohjainen suojaus puolestaan käyttää heuristiikkaa, koneoppimismallia ja tekee taustalla yksityiskohtaisen analyysin selvittääkseen, onko tiedosto haittaohjelma.
Windows Defenderin pilvipohjainen suojaus tai 'estä ensi silmäyksellä' -ominaisuus on oletusarvoisesti käytössä. Jos olet poistanut pilvisuojausvaihtoehdon käytöstä Windows Defenderissä yksityisyyden vuoksi, katsele paremmin Windows Defender Engineering -tiimin esittelyä, joka osoittaa, kuinka tehokas pilvisuojaus voi olla.
Kanavan 9 video: Tutustu Windows Defender Instant Protectioniin Microsoft Ignite 2016
Varmista, että Estä ensi silmäyksellä -pilvisuojaus on käytössä
Napsauta Käynnistä, Asetukset. (Tai paina WinKey + i)
Napsauta Asetukset-sivulla Päivitys ja suojaus ja sitten Windows Defender.
Varmista että Pilvipohjainen suojaus ja Automaattinen näytteen lähettäminen asetukset ovat käytössä.
Kun Windows Defenderin Estä ensi silmäyksellä -pilvisuojaus ja näytteenottovaihtoehdot ovat käytössä Windows Defender -asetuksissa, jos järjestelmä kohtaa epäilyttävän tiedoston, joka muuten läpäisee allekirjoitukseen perustuvan tunnistuksen, Defender lähettää epäilyttävän tiedoston metatiedot pilvitaustalle. Huomaa, että pilvi ei aina pyydä koko tiedostoa.
Pilvipalvelun koneet analysoivat metatietoja erilaisten logiikkojen, URL-maineen ja telemetriatietojen avulla selvittääkseen, onko tiedosto haittaohjelma.
Esimerkiksi, jos haittaohjelman tiedostonimi vastaa Windows-ytimen moduulin nimeä, pilvi-taustakuva tarkistaa moduulin digitaalisen allekirjoituksen. Jos se on allekirjoittamaton tai Microsoftin allekirjoittamaton ja luokitus on haittaohjelma (luotettavuustasolla 85%), pilvi määrittää tiedoston olevan haittaohjelma.
'Luokittelu' - ja 'luottamus' -arvioinnit, jotka ovat tärkein osa backend-analyysia, saadaan koneoppimismallin avulla.
Jos pilvitaustajärjestelmästä ei tule tuomiota, se pyytää koko tiedostoa yksityiskohtaiseen analyysiin. Kunnes tiedosto on ladattu ja pilvi vahvistaa sen saamisen, Windows Defender lukitsee tiedoston eikä salli sen suorittamista asiakkaalla. Tämä on keskeinen muutos, jonka Windows Defender -tiimi on tehnyt Windows 10 Anniversary Update -sovelluksessa (v1607).
Aikaisemmin epäilyttävän tiedoston annettiin suorittaa synkronisesti latauksen ollessa käynnissä. Jo ennen latauksen päättymistä haittaohjelma olisi lopettanut toimintansa ja tuhonnut itsensä.
Tulossa Windows Defender Engineering -tiimin esittelyyn keskusteltiin kahdesta skenaariosta. Skenaariossa 1 pilvi-taustajärjestelmä luokittelee tiedoston haittaohjelmaksi vain metatietojen perusteella. Laite # 1, jonka pilvisuojaus on kytketty pois päältä, saa tartunnan tiedostoa suoritettaessa. Ja laite # 2, jossa on pilvisuojaus päällä, on heti suojattu.
Skenaariossa 2 ensimmäinen käyttäjä suorittaa tuntemattoman haittaohjelman. Pilvestä ei saatu metadatan perusteella tuomiota, joten koko tiedosto lähetettiin automaattisesti.
Lähetysaika oli klo 19:48:59 tuntia - backend suoritti automaattisen analyysin klo 19:49:01 tuntia (~ 2 sekuntia siitä, kun lataus osui pilvitaustaan) ja totesi, että tiedosto on haittaohjelma.
Tästä hetkestä lähtien Windows Defender estäisi kaikki tulevat tiedostotapaamiset ja suojaisi siten miljoonia muita laitteita, joissa Windows Defenderin pilvipohjainen suojaus on käytössä.
Microsoftilla on myös testisivusto nimeltä Windows Defender Testground jossa voit tarkistaa Defenderin pilvisuojan tehokkuuden lataamalla näytteitä.
Vaikka toinen demo ei onnistunut joidenkin pilvipalveluun liittyvien ongelmien takia, se on kaiken kaikkiaan hyödyllinen esitys, joka selittää Windows Defenderin pilvipohjaisen 'ensimmäiseltä estolta' -ominaisuuden tärkeyden. Jos olisit poistanut ominaisuuden käytöstä, sinulla on nyt toinen ajatus.
Viitteet ja hyvitykset
Ota Estä ensisilmäyksellä -ominaisuus käyttöön haittaohjelmien havaitsemiseksi sekunneissa
Tutustu Windows Defenderin välittömään suojaukseen | Microsoft Ignite 2016 | Kanava 9
Yksi pieni pyyntö: Jos pidit tästä viestistä, jaa tämä?
Yksi 'pieni' osuutesi sinulta auttaisi vakavasti paljon tämän blogin kasvussa. Hyviä ehdotuksia:- Kiinnittää sen!
- Jaa se suosikki blogiisi + Facebookiin, Reddit
- Twiitti se!