Как работает функция Защитника Windows с первого взгляда?

Защитник Windows или платформа Microsoft для защиты от вредоносных программ защищают домашние компьютеры, серверы и онлайн-сервисы, такие как Office 365. Обладая множеством данных анализа угроз и телеметрии, облачный бэкэнд Defender представляет собой поразительную службу защиты от вредоносных программ.

блок защитника с первого взгляда

Когда новое вредоносное ПО появляется в дикой природе, команде Microsoft по борьбе с вредоносным ПО (или любой другой компании, занимающейся антивирусными или антивирусными программами) может потребоваться несколько часов, чтобы проанализировать, проанализировать и выполнить детонацию файла вредоносным ПО перед тем, как может выпустить обновление подписи. И, не говоря уже о КК, обновление подписи должно пройти.

Что касается защиты от вредоносных программ, то нельзя отрицать тот факт, что защита на основе сигнатур является основной. Но этого недостаточно, поскольку это не всегда помогает, особенно в случае совершенно новых или неизвестных вредоносных программ. Согласно отчету Microsoft, когда появляется новое вредоносное ПО, 30% компьютеров заражаются в течение первых четырех часов. Обновления подписи обычно приходят спустя часы.

блок защитника с первого взгляда

Надежная облачная защита Защитника Windows, с другой стороны, использует эвристику, модель машинного обучения и проводит подробный анализ на сервере, чтобы определить, является ли файл вредоносным.

Облачная защита Защитника Windows или функция «блокировать с первого взгляда» по умолчанию включена. Если вы отключили функцию облачной защиты в Защитнике Windows из-за проблем с конфиденциальностью, вам лучше посмотреть демонстрацию, подготовленную командой разработчиков Защитника Windows, которая показывает, насколько эффективной может быть облачная защита.

Видео 9-го канала: мгновенная защита Защитника Windows | Microsoft Ignite 2016

Убедитесь, что облачная защита «Заблокировать с первого взгляда» включена

Нажмите Пуск, Настройки. (Или нажмите WinKey + I)

На странице настроек нажмите Обновить Безопасность, а затем Защитник Windows.

Убедитесь что Облачная защита а также Автоматическая подача образца настройки включены.

защитник облачной защиты

Если в настройках Защитника Windows включены параметры облачной защиты и отправки образцов Защитника Windows «Блокировать с первого взгляда», и если система обнаруживает подозрительный файл, который в противном случае проходит обнаружение на основе сигнатур, Защитник отправляет метаданные подозрительного файла в серверную часть облака. Обратите внимание, что облако не всегда запрашивает весь файл.

Компьютеры в облачной среде анализируют метаданные, используя различные логические данные, репутацию URL-адреса и данные телеметрии, чтобы определить, является ли файл вредоносным.

Например, если имя файла вредоносной программы совпадает с именем основного модуля Windows, облачный бэкэнд проверяет цифровую подпись модуля. Если он не подписан или не подписан Microsoft и его «классификация» является вредоносной программой (с уровнем «достоверности» 85%), то облако определяет, что файл является вредоносной программой.

защитник облачной защиты

Оценки «Классификация» и «Доверие», которые составляют наиболее важную часть внутреннего анализа, получаются с помощью модели машинного обучения.

Если облачный сервер не выносит вердикта, он запрашивает весь файл для детального анализа. Пока файл не загружен и облако не подтвердит его получение, Защитник Windows блокирует файл и не разрешает запуск на клиенте. Это ключевое изменение, внесенное командой Защитника Windows в Windows 10 Anniversary Update (v1607).

Ранее подозрительный файл разрешался синхронно во время загрузки. Еще до того, как загрузка будет завершена, вредоносная программа закончит работу и самоуничтожится.

Что касается демонстрации команды разработчиков Защитника Windows, то обсуждались два сценария. В сценарии 1 облачный бэкэнд классифицирует файл как вредоносное ПО, основываясь только на метаданных. Устройство №1 с отключенной облачной защитой, заражается при запуске файла. И устройство № 2 с включенной облачной защитой мгновенно защищено.

В сценарии 2 первый пользователь запускает неизвестное вредоносное ПО. Облако не вынесло вердикта на основе метаданных, и, таким образом, весь файл был автоматически отправлен.

Время отправки было в 19:48:59 часов — серверная часть завершила автоматический анализ в 19:49:01 часов (~ 2 секунды с момента загрузки в облачный сервер) и определила, что файл является вредоносным.

С самого начала Защитник Windows будет блокировать любые будущие обращения к этому файлу, защищая, таким образом, миллионы других устройств, на которых включена защита облачного хранилища Защитника Windows.

У Microsoft также есть тестовый сайт с именем Windows Defender Testground, где вы можете проверить эффективность облачной защиты Defender, загрузив образцы.

Хотя вторая демонстрация не увенчалась успехом из-за некоторых проблем с подключением к облаку, в целом это полезная презентация, объясняющая важность функции облачной защиты Защитника Windows «блокировать с первого взгляда». Если вы отключили эту функцию, я думаю, у вас есть вторая мысль.

Ссылки кредиты

Включите функцию «Блокировать при первом взгляде» для обнаружения вредоносного ПО в течение нескольких секунд.
Изучите мгновенную защиту Защитника Windows | Microsoft Ignite 2016 | 9 канал

Ссылка на основную публикацию