Windows Defender tai Microsoftin haittaohjelmien torjunta-alusta suojaa kotitietokoneita, palvelimia ja verkkopalveluita, kuten Office 365. Defenderin pilvikoko on upea älykkyys- ja telemetriatieto, ja se on hämmästyttävä haittaohjelmien suojauspalvelu.
Kun uusi haittaohjelma ilmestyy luonnossa, voi kestää tunteja, ennen kuin Microsoftin haittaohjelmien torjuntatiimi (tai mikä tahansa muu viruksentorjunta- tai haittaohjelmayritys) analysoi, peruuttaa ja suorittaa tiedoston haittaohjelmien räjäyttämisen ennen sitä voi vapauttaa allekirjoituspäivityksen. Ja puhumattakaan QC: stä, allekirjoituspäivityksen on läpäistävä.
Haittaohjelmien suojaamisesta ei voida kiistää sitä, että allekirjoituspohjainen suojaus on ensisijainen. Se ei kuitenkaan riitä, koska se ei välttämättä aina auta - etenkin aivan uusien tai tuntemattomien haittaohjelmien tapauksessa. Microsoftin raportin mukaan uuden haittaohjelman ilmestyessä 30% tietokoneista on saanut tartunnan neljän ensimmäisen tunnin aikana. Allekirjoituspäivitykset tulevat yleensä tunteja myöhemmin.
Windows Defenderin vahva pilvipohjainen suojaus puolestaan käyttää heuristiikkaa, koneoppimallia ja suorittaa yksityiskohtaisen analyysin taustalla selvittääkseen, onko tiedosto haittaohjelma.
Windows Defender pilvipohjainen suojaus tai ”estää ensin” on ominaisuus oletusarvoisesti käytössä. Jos olet sulkenut pilvinsuojausvaihtoehdon Windows Defenderissä yksityisyyden vuoksi, kannattaa katsoa Windows Defender Engineering -tiimin esittelyä, joka näyttää kuinka tehokas pilvisuojaus voi olla.
Kanava 9 Video: Tutustu Windows Defenderin välittömään suojaukseen | Microsoft Ignite 2016
Varmista, että ”Estä ensin näkemästä” pilvasuojaus on käytössä
Napsauta Käynnistä, Asetukset. (Tai paina WinKey + i)
Napsauta Asetukset-sivulla Päivitä ja suojaa ja sitten Windows Defender.
Varmista, että pilvipohjainen suojaus ja automaattinen näytteen lähetysasetukset ovat käytössä.
Kun Windows Defenderin ”Estä ensin silmältä” pilvasuojaus ja näytteen lähetysasetukset on otettu käyttöön Windows Defenderin asetuksissa, jos järjestelmä havaitsee epäilyttävän tiedoston, joka muuten läpäisee allekirjoitusperusteisen tunnistuksen, Defender lähettää epäilyttävän tiedoston metatiedot pilvipalvelimelle. Huomaa, että pilvi ei aina pyydä koko tiedostoa.
Pilvipalvelun koneet analysoivat metatiedot hyödyntäen erilaisia logiikoita, URL-osoitteen mainintaa ja telemetriatietoja määrittääksesi, onko tiedosto haittaohjelma.
Esimerkiksi, jos haittaohjelmatiedoston nimi vastaa Windowsin ydinmoduulin nimeä, pilvipalvelin tarkistaa moduulin digitaalisen allekirjoituksen. Jos sitä ei ole allekirjoitettu tai Microsoft ei ole allekirjoittanut sitä ja sen luokittelu on haittaohjelma (luottamusasteella 85%), pilvi määrittää, onko tiedosto haittaohjelma.
”Luokitus- ja luottamus-arvioinnit, jotka muodostavat tärkeimmän osan tausta-analyysistä, saadaan koneoppimallin avulla.
Jos pilvipalvelussa ei anneta tuomiota, se pyytää koko tiedostoa yksityiskohtaista analyysiä varten. Ennen kuin tiedosto on ladattu ja pilvi vahvistaa sen vastaanoton, Windows Defender lukitsee tiedoston eikä salli sen suorittamista asiakasohjelmassa. Tämä on tärkeä muutos, jonka Windows Defender -tiimi on tehnyt Windows 10 Anniversary Update -sovelluksessa (v1607).
Aikaisemmin epäilyttävän tiedoston annettiin ajaa synkronisesti latauksen aikana. Jo ennen kuin lähetys oli valmis, haittaohjelma olisi lopettanut suorittamisen ja tuhonnut itsensä.
Windows Defender Engineering -tiimin esittelyssä keskusteltiin kahdesta skenaariosta. Skenaariossa 1 pilvikantaohjelma luokittelee tiedoston haittaohjelmaksi vain metatietojen perusteella. Laite # 1, jossa pilvisuojaus on kytketty pois päältä, tarttuu, kun tiedostoa suoritetaan. Ja laite # 2, jossa pilvisuojaus on päällä, on heti suojattu.
Skenaariossa 2 ensimmäinen käyttäjä ajaa tuntematonta haittaohjelmaa. Pilvi ei päässyt metadatan perusteella tuomioon, joten koko tiedosto lähetettiin automaattisesti.
Lähetysaika oli kello 19:48:59 - backend suoritti automatisoidun analyysin kello 19:49:01 (~ 2 sekuntia siitä päivästä, kun lataus osui pilvipalvelimeen) ja totesi, että tiedosto on haittaohjelma.
Heti siitä hetkestä lähtien, kun Windows Defender estäisi kaikki tiedoston tulevat kohtaamiset, suojaa siten miljoonia muita laitteita, joissa Windows Defenderin pilvipohjainen suojaus on käytössä.
Microsoftilla on myös testisivusto, jonka nimi on Windows Defender Testground, jossa voit tarkistaa Defenderin pilvisuojauksen tehokkuuden lähettämällä näytteitä.
Vaikka toinen demo ei onnistunut joidenkin pilviyhteyteen liittyvien ongelmien takia, yleisesti ottaen se on hyödyllinen esitys, joka selittää Windows Defenderin pilkkopohjaisen suojausominaisuuden "ensi silmäyksellä" merkityksen. Jos olisit poistanut ominaisuuden käytöstä, sinulla on nyt toinen ajatus.
Viitteet ja hyvitykset
Ota Estä ensin nähden -ominaisuus käyttöön havaitaksesi haittaohjelmia muutamassa sekunnissa
Tutustu Windows Defenderin välittömään suojaukseen | Microsoft Ignite 2016 | Kanava 9