Hvordan fungerer Windows Defender Cloud Block Feature “Block at First Sight”? - Winhelponline

How Windows Defender Block First Sight Cloud Protection Feature Works



Windows Defender eller Microsoft anti-malware-plattform beskytter hjemme-datamaskiner, servere og online-tjenester som Office 365. Med det store antallet trusseletterretninger og telemetri-data, er Defenders skybackend en forbløffende beskyttelse av skadelig programvare.

forsvarsblokk ved første blikk







Når en ny skadelig programvare dukker opp i naturen, kan det ta timer for Microsofts antimalwareteam (eller ethvert annet antivirus- eller antimalwarefirma for den saks skyld) å analysere, reversere og utføre skadelig detonasjon av filen før den kan gi ut en signaturoppdatering. Og for ikke å nevne QC, må signaturoppdateringen gå gjennom.



Når det gjelder malware-beskyttelse, kan det ikke benektes at signaturbasert beskyttelse er førsteklasses. Men det er ikke tilstrekkelig, da det ikke alltid kan hjelpe - spesielt når det gjelder helt ny eller ukjent skadelig programvare. I henhold til Microsofts rapport når en ny skadelig programvare vises, er 30% av datamaskinene infisert i løpet av de første fire timene. Signaturoppdateringene kommer vanligvis timer senere.



forsvarsblokk ved første blikk





Windows Defenders robuste skybaserte beskyttelse bruker derimot heuristikk, maskinlæringsmodell, og gjør detaljert analyse i backend for å avgjøre om en fil er skadelig programvare.

Windows Defender skybasert beskyttelse eller 'blokker ved første blikk' -funksjonen er som standard aktivert. Hvis du har slått av skybeskyttelsesalternativet i Windows Defender på grunn av 'personvern', bør du se demoen fra Windows Defender Engineering-teamet, som viser hvor effektiv skybeskyttelse kan være.



Channel 9 Video: Utforsk Windows Defender Instant Protection | Microsoft Ignite 2016

Forsikre deg om at 'Block at First Sight' Cloud Protection er aktivert

Klikk Start, Innstillinger. (Eller trykk WinKey + i)

På Innstillinger-siden klikker du Oppdater og sikkerhet og deretter Windows Defender.

Sørge for at Skybasert beskyttelse og Automatisk prøveinnlevering innstillingene er aktivert.

forsvarer skybeskyttelse

Når Windows Defenders skybeskyttelses- og prøveinnleveringsalternativer 'Blokk ved første blikk' er aktivert i Windows Defender-innstillinger, hvis systemet støter på en mistenkelig fil som ellers overfører signaturbasert gjenkjenning, sender Defender metadataene til den mistenkelige filen til sky-backend. Merk at skyen ikke alltid ber om hele filen.

Maskinene på skyens bakside analyserer metadataene og bruker de forskjellige logikkene, URL-omdømmet og telemetridataene for å avgjøre om filen er skadelig programvare.

For eksempel, hvis malware-filnavnet samsvarer med navnet på en kjerne Windows-modul, sjekker sky-backend den digitale signaturen til modulen. Hvis det ikke er signert eller ikke signert av Microsoft, og det er 'klassifisering' er skadelig programvare (med 'selvtillit' -nivå 85%), bestemmer skyen at filen er skadelig programvare.

forsvarer skybeskyttelse

Vurderingene “Klassifisering” og “tillit” som utgjør den viktigste delen av backend-analysen, oppnås gjennom maskinlæringsmodellen.

Hvis sky-backend ikke kommer med noen dom, ber den hele filen om en detaljert analyse. Inntil filen er lastet opp og skyen bekrefter mottakelsen av den samme, låser Windows Defender filen og tillater ikke å kjøre på klienten. Det er en viktig endring Windows Defender-teamet har gjort i Windows 10 Anniversary Update (v1607).

Tidligere fikk den mistenkelige filen kjøre mens opplastingen pågår, synkront. Selv før opplastingen var fullført, ville skadelig programvare ha kjørt og selvdestruert seg selv.

Når vi kom til Windows Defender Engineering-teamets demo, ble det diskutert to scenarier. I Scenario 1 klassifiserer skyhendelen en fil som skadelig programvare, bare basert på metadataene. Enhet nr. 1 med skybeskyttelse slått av, blir smittet når filen kjøres. Og enhet nr. 2 med skybeskyttelse på, er øyeblikkelig beskyttet.

I Scenario 2 kjører den første brukeren en ukjent skadelig programvare. Skyen nådde ingen dom basert på metadataene, og dermed ble hele filen automatisk sendt.

Innleveringstiden var klokken 19:48:59 timer - backend fullførte den automatiserte analysen kl 19:49:01 timer (~ 2 sekunder etter at opplastingen traff sky-backend) og bestemte at filen er skadelig programvare.

Fra det øyeblikket vil Windows Defender blokkere fremtidige møter med den filen, og dermed beskytte millioner av andre enheter som har Windows Defender skybasert beskyttelse aktivert.

Microsoft har også et teststed kalt Windows Defender Testground der du kan sjekke effektiviteten til Defenders skybeskyttelse ved å laste opp prøver.

Selv om den andre demoen ikke lyktes på grunn av noen tilkoblingsproblemer med skyen, er det generelt en nyttig presentasjon som forklarer viktigheten av Windows Defenders skyblaserte beskyttelsesfunksjon 'ved første øyekast'. Hvis du hadde slått av funksjonen, antar du at du nå tenker deg om.

Referanser og studiepoeng

Aktiver funksjonen Blokker ved første blikk for å oppdage skadelig programvare på få sekunder
Utforsk Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanal 9


En liten forespørsel: Hvis du likte dette innlegget, vennligst del dette?

En 'liten' andel fra deg vil virkelig hjelpe mye med veksten av denne bloggen. Noen gode forslag:
  • Fest det!
  • Del den til din favorittblogg + Facebook, Reddit
  • Tweet det!
Så tusen takk for støtten, leseren min. Det tar ikke mer enn 10 sekunder av tiden din. Deleknappene er rett nedenfor. :)