Перейти к содержанию

Как работает функция облачной защиты Защитника Windows «Блокировка с первого взгляда»?

Защитник Windows или платформа Microsoft для защиты от вредоносных программ защищает домашние компьютеры, серверы и онлайн-сервисы, такие как Office 365. Облачный бэкэнд Defender с огромным количеством данных об угрозах и телеметрии представляет собой потрясающую службу защиты от вредоносных программ.if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-medrectangle-3-0′)};if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-box-3-0’)};

блок защитника с первого взгляда

Когда новое вредоносное ПО появляется в «дикой природе», команде Microsoft по борьбе с вредоносным ПО (или любой другой антивирусной или антивирусной компании в этом отношении) может потребоваться несколько часов, чтобы проанализировать, реконструировать и выполнить детонацию файла вредоносным ПО перед этим. может выпустить обновление сигнатуры. И, не говоря уже о QC, обновление подписи должно пройти.

Что касается защиты от вредоносных программ, нельзя отрицать тот факт, что защита на основе сигнатур имеет первостепенное значение. Но этого недостаточно, так как это не всегда может помочь, особенно в случае совершенно нового или неизвестного вредоносного ПО. Согласно отчету Microsoft, когда появляется новое вредоносное ПО, 30% компьютеров заражаются в течение первых четырех часов. Обновления подписи обычно приходят через несколько часов.

блок защитника с первого взглядаif(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-box-4-0’)};

С другой стороны, надежная облачная защита Защитника Windows использует эвристику, модель машинного обучения и выполняет подробный анализ на сервере, чтобы определить, является ли файл вредоносным.

if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-medrectangle-4-0’)};

Облачная защита Защитника Windows или функция «блокировка с первого взгляда» включена по умолчанию. Если вы отключили опцию облачной защиты в Защитнике Windows из-за проблем с конфиденциальностью, вам лучше посмотреть демонстрацию от команды разработчиков Защитника Windows, которая показывает, насколько эффективной может быть облачная защита.

Видео на канале 9: Изучение мгновенной защиты Защитника Windows | Microsoft Ignite 2016

Убедитесь, что включена облачная защита «Блокировать с первого взгляда».

Нажмите Пуск, Настройки. (Или нажмите WinKey + i)

На странице настроек нажмите «Обновление и безопасность», а затем «Защитник Windows».

Убедитесь, что включены параметры облачной защиты и автоматической отправки образцов.

защитник облачной защиты

if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-banner-1-0’)};Когда в настройках Защитника Windows включены облачная защита Защитника Windows «Блокировать с первого взгляда» и параметры отправки образцов, если система обнаруживает подозрительный файл, который в противном случае проходит обнаружение на основе сигнатур, Защитник отправляет метаданные подозрительного файла в облачный сервер. Обратите внимание, что облако не всегда запрашивает весь файл.

Машины на облачном сервере анализируют метаданные, используя различные логики, репутацию URL-адресов и данные телеметрии, чтобы определить, является ли файл вредоносным.

Например, если имя файла вредоносной программы совпадает с именем основного модуля Windows, облачный сервер проверяет цифровую подпись модуля. Если он не подписан или не подписан Microsoft, и если он «классифицируется» как вредоносное ПО (с уровнем «достоверности» 85%), то облако определяет, что файл является вредоносным.

защитник облачной защитыif(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-large-leaderboard-2-0’)};

Оценки «Классификация» и «достоверность», которые составляют наиболее важную часть внутреннего анализа, получаются с помощью модели машинного обучения.

В случае, если облачный бэкэнд не выносит вердикта, он запрашивает весь файл для подробного анализа. Пока файл не будет загружен и облако не подтвердит его получение, Защитник Windows заблокирует файл и не разрешит запуск на клиенте. Это ключевое изменение, внесенное командой Защитника Windows в юбилейном обновлении Windows 10 (v1607).

Ранее подозрительный файл разрешался синхронно во время загрузки. Даже до завершения загрузки вредоносная программа завершила бы свою работу и самоуничтожилась.

Переходя к демонстрации команды разработчиков Защитника Windows, обсуждались два сценария. В сценарии 1 облачный сервер классифицирует файл как вредоносное ПО только на основе метаданных. Устройство №1 с отключенной облачной защитой заражается при запуске файла. А устройство №2 с включенной облачной защитой мгновенно защищается.

В сценарии 2 первый пользователь запускает неизвестное вредоносное ПО. Облако не вынесло вердикта на основе метаданных, и поэтому весь файл был отправлен автоматически.

Время отправки было в 19:48:59 часов — серверная часть завершила автоматический анализ в 19:49:01 часов (~ 2 секунды с момента загрузки в облачную службу) и определила, что файл является вредоносным.

С этого момента Защитник Windows будет блокировать любые будущие встречи с этим файлом, таким образом защищая миллионы других устройств, на которых включена облачная защита Защитника Windows.

У Microsoft также есть тестовый сайт под названием Windows Defender Testground, где вы можете проверить эффективность облачной защиты Defender, загрузив образцы.

Хотя вторая демонстрация не увенчалась успехом из-за некоторых проблем с подключением к облаку, в целом это полезная презентация, которая объясняет важность облачной защиты «блокировка с первого взгляда» Защитника Windows. Если бы вы отключили эту функцию, я думаю, теперь у вас возникнет вторая мысль.

Ссылки и кредиты

Включите функцию блокировки с первого взгляда, чтобы обнаруживать вредоносное ПО в течение нескольких секунд.
Изучите мгновенную защиту Защитника Windows | Microsoft Ignite 2016 | Канал 9

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *