Windows Defender atau platform anti-malware Microsoft melindungi komputer rumah, pelayan dan perkhidmatan dalam talian seperti Office 365. Dengan kekayaan data kecerdasan ancaman dan telemetri, backend cloud Defender adalah perkhidmatan perlindungan perisian hasad yang menakjubkan.
Apabila perisian hasad baru muncul di alam liar, pasukan anti-perisian Microsoft (atau syarikat antivirus atau anti-malware lain) memerlukan masa berjam-jam untuk menganalisis, merekayasa balik dan melakukan peledakan perisian hasad sebelum fail boleh mengeluarkan kemas kini tandatangan. Dan belum lagi QC kemas kini tandatangan harus dilalui.
Mengenai perlindungan perisian hasad, tidak dapat dinafikan hakikat bahawa perlindungan berasaskan tanda tangan adalah yang utama. Tetapi itu tidak mencukupi, kerana mungkin tidak selalu membantu - terutama dalam kes malware baru atau tidak diketahui. Seperti yang dilaporkan oleh Microsoft ketika malware baru muncul, 30% komputer dijangkiti dalam empat jam pertama. Kemas kini tandatangan biasanya datang beberapa jam kemudian.
Perlindungan berasaskan cloud yang kuat Windows Defender, sebaliknya, menggunakan heuristik, model pembelajaran mesin, dan melakukan analisis terperinci di bahagian belakang untuk menentukan sama ada fail adalah perisian hasad.
Perlindungan berasaskan cloud Windows Defender atau 'blok pada pandangan pertama' secara lalai diaktifkan. Sekiranya anda telah mematikan pilihan perlindungan awan di Windows Defender kerana masalah 'privasi', lebih baik anda menonton demo oleh pasukan Windows Defender Engineering, yang menunjukkan betapa berkesannya perlindungan awan.
Video Saluran 9: Terokai Perlindungan Segera Windows Defender | Microsoft Ignite 2016
Pastikan “Block at First Sight” Perlindungan Awan diaktifkan
Klik Mula, Tetapan. (Atau tekan WinKey + i)
Di halaman Tetapan, klik Kemas kini & Keselamatan dan kemudian Windows Defender.
Pastikan bahawa Perlindungan berasaskan awan dan Penyerahan sampel automatik tetapan diaktifkan.
Apabila perlindungan awan 'Blok pada pandangan pertama' Windows Defender dan pilihan penyerahan sampel diaktifkan dalam Tetapan Windows Defender, jika sistem menemui fail yang mencurigakan yang sebaliknya melewati pengesanan berdasarkan tanda tangan, Defender mengirimkan metadata fail yang mencurigakan ke backend awan. Perhatikan bahawa awan tidak selalu meminta keseluruhan fail.
Mesin-mesin di cloud backend menganalisis metadata, memanfaatkan berbagai logik, reputasi URL, dan data telemetri untuk menentukan apakah file tersebut adalah malware.
Sebagai contoh, jika nama fail perisian hasad sepadan dengan nama modul Windows teras, latar belakang awan akan memeriksa tandatangan digital modul tersebut. Sekiranya tidak ditandatangani atau tidak ditandatangani oleh Microsoft, dan itu 'klasifikasi' adalah perisian hasad (dengan tahap 'keyakinan' 85%), maka awan menentukan fail tersebut adalah perisian hasad.
Penilaian 'Klasifikasi' dan 'keyakinan' yang merupakan bahagian terpenting dari analisis backend, diperoleh melalui model pembelajaran mesin.
Sekiranya backend awan muncul tanpa keputusan, ia meminta seluruh fail untuk analisis terperinci. Sehingga fail dimuat naik dan awan mengesahkan penerimaan yang sama, Windows Defender mengunci fail dan tidak membenarkan berjalan pada klien. Itu adalah perubahan utama yang telah dibuat oleh pasukan Windows Defender dalam Kemas kini Ulang Tahun Windows 10 (v1607).
Sebelum ini, fail yang mencurigakan itu dibenarkan untuk dijalankan semasa muat naik sedang berjalan, secara serentak. Bahkan sebelum muat naik selesai, perisian hasad akan selesai berjalan dan memusnahkan dirinya sendiri.
Datang ke demo pasukan Windows Defender Engineering, terdapat dua senario yang dibincangkan. Dalam Senario 1, backend awan mengklasifikasikan fail sebagai perisian hasad, hanya berdasarkan metadata. Peranti # 1 dengan perlindungan awan dimatikan, dijangkiti semasa menjalankan fail. Dan peranti # 2 dengan perlindungan awan Hidup, dilindungi serta-merta.
Dalam Senario 2, pengguna pertama menjalankan perisian hasad yang tidak diketahui. Awan tidak mencapai keputusan berdasarkan metadata, dan dengan demikian keseluruhan fail dihantar secara automatik.
Waktu penyerahan adalah pada jam 19:48:59 - backend menyelesaikan analisis automatik pada jam 19:49:01 (~ 2 saat dari saat muat naik mencapai backend awan) dan menentukan bahawa fail tersebut adalah perisian hasad.
Sejak saat itu, Windows Defender akan menyekat sebarang pertemuan fail masa depan, dengan itu melindungi berjuta-juta peranti lain yang mempunyai perlindungan berasaskan awan Windows Defender yang diaktifkan.
Microsoft juga mempunyai laman web ujian bernama Tapak Ujian Windows Defender di mana anda dapat memeriksa keberkesanan perlindungan awan Defender dengan memuat naik sampel.
Walaupun demo kedua tidak berjaya kerana beberapa masalah kesambungan dengan awan, secara keseluruhannya adalah persembahan berguna yang menerangkan kepentingan ciri perlindungan berasaskan cloud 'blok pada pandangan pertama' Windows Defender. Sekiranya anda telah mematikan ciri ini, saya rasa anda sekarang akan mempunyai pemikiran kedua.
Rujukan & Kredit
Aktifkan ciri Block at First Sight untuk mengesan malware dalam beberapa saat
Terokai Perlindungan Segera Windows Defender | Microsoft Ignite 2016 | Saluran 9
Satu permintaan kecil: Sekiranya anda menyukai siaran ini, sila bagikan ini?
Satu bahagian 'kecil' dari anda akan sangat membantu perkembangan blog ini. Beberapa cadangan hebat:- Pin ia!
- Kongsi ke blog kegemaran anda + Facebook, Reddit
- Tweet!