ฟีเจอร์ Cloud Protection“ Block at First Sight” ของ Windows Defender ทำงานอย่างไร - Winhelponline

How Windows Defender Block First Sight Cloud Protection Feature Works

Windows Defender หรือแพลตฟอร์มป้องกันมัลแวร์ของ Microsoft ช่วยปกป้องคอมพิวเตอร์ในบ้านเซิร์ฟเวอร์และบริการออนไลน์เช่น Office 365 ด้วยข้อมูลภัยคุกคามและข้อมูลทางไกลที่มีอยู่มากมายระบบคลาวด์แบ็กเอนด์ของ Defender จึงเป็นบริการป้องกันมัลแวร์ที่น่าทึ่ง

กองหลังสกัดกั้นตั้งแต่แรกเห็น



เมื่อมัลแวร์ตัวใหม่ปรากฏขึ้นในป่าอาจใช้เวลาหลายชั่วโมงสำหรับทีมป้องกันมัลแวร์ของ Microsoft (หรือ บริษัท ป้องกันไวรัสหรือ บริษัท ป้องกันมัลแวร์อื่น ๆ สำหรับเรื่องนั้น) ในการวิเคราะห์ทำวิศวกรรมย้อนกลับและทำการระเบิดมัลแวร์ของไฟล์ก่อนหน้านั้น สามารถปล่อยอัพเดตลายเซ็น และไม่ต้องพูดถึง QC การอัปเดตลายเซ็นจะต้องผ่าน



เท่าที่เกี่ยวข้องกับการป้องกันมัลแวร์ไม่มีการปฏิเสธความจริงที่ว่าการป้องกันโดยใช้ลายเซ็นเป็นสิ่งสำคัญ แต่นั่นยังไม่เพียงพอเนื่องจากอาจไม่สามารถช่วยได้เสมอไป - โดยเฉพาะในกรณีของมัลแวร์ใหม่เอี่ยมหรือไม่รู้จัก ตามรายงานของ Microsoft เมื่อมีมัลแวร์ตัวใหม่ปรากฏคอมพิวเตอร์ 30% ติดไวรัสภายในสี่ชั่วโมงแรก การอัปเดตลายเซ็นมักจะมาในภายหลังหลายชั่วโมง



กองหลังสกัดกั้นตั้งแต่แรกเห็น

ในทางกลับกันการป้องกันบนคลาวด์ที่แข็งแกร่งของ Windows Defender จะใช้การวิเคราะห์พฤติกรรมโมเดลแมชชีนเลิร์นนิงและทำการวิเคราะห์โดยละเอียดที่แบ็กเอนด์เพื่อตรวจสอบว่าไฟล์เป็นมัลแวร์หรือไม่

การป้องกันบนคลาวด์ของ Windows Defender หรือคุณลักษณะ 'บล็อกตั้งแต่แรกเห็น' จะเปิดใช้งานโดยค่าเริ่มต้น หากคุณปิดตัวเลือกการป้องกันระบบคลาวด์ใน Windows Defender เนื่องจากปัญหาด้าน 'ความเป็นส่วนตัว' คุณควรดูการสาธิตโดยทีมวิศวกรรม Windows Defender ซึ่งจะแสดงให้เห็นว่าการป้องกันระบบคลาวด์มีประสิทธิภาพเพียงใด



วิดีโอช่อง 9: สำรวจการป้องกันทันทีของ Windows Defender | Microsoft Ignite 2016

ตรวจสอบให้แน่ใจว่าเปิดใช้งาน 'Block at First Sight' Cloud Protection แล้ว

คลิกเริ่มการตั้งค่า (หรือกด WinKey + i)

ในหน้าการตั้งค่าคลิกอัปเดตและความปลอดภัยแล้วคลิก Windows Defender

ทำให้แน่ใจ การป้องกันบนคลาวด์ และ การส่งตัวอย่างอัตโนมัติ เปิดใช้งานการตั้งค่า

การป้องกันเมฆผู้พิทักษ์

เมื่อการป้องกันระบบคลาวด์“ Block at first sight” ของ Windows Defender และตัวเลือกการส่งตัวอย่างถูกเปิดใช้งานในการตั้งค่า Windows Defender หากระบบพบไฟล์ที่น่าสงสัยซึ่งผ่านการตรวจจับโดยใช้ลายเซ็น Defender จะส่งข้อมูลเมตาของไฟล์ที่น่าสงสัยไปยังแบ็กเอนด์ของระบบคลาวด์ โปรดทราบว่าระบบคลาวด์ไม่ได้ร้องขอไฟล์ทั้งหมดเสมอไป

เครื่องที่แบ็กเอนด์ของระบบคลาวด์จะวิเคราะห์ข้อมูลเมตาโดยใช้ข้อมูลลอจิกต่างๆชื่อเสียงของ URL และข้อมูลทางไกลเพื่อตรวจสอบว่าไฟล์นั้นเป็นมัลแวร์หรือไม่

ตัวอย่างเช่นหากชื่อไฟล์มัลแวร์ตรงกับชื่อของโมดูลหลักของ Windows แบ็กเอนด์ระบบคลาวด์จะตรวจสอบลายเซ็นดิจิทัลของโมดูล หากไม่ได้ลงนามหรือไม่ได้ลงนามโดย Microsoft และ 'การจัดประเภท' เป็นมัลแวร์ (ระดับ 'ความมั่นใจ' 85%) ระบบคลาวด์จะพิจารณาว่าไฟล์นั้นเป็นมัลแวร์

การป้องกันเมฆผู้พิทักษ์

การประเมิน 'การจำแนกประเภท' และ 'ความเชื่อมั่น' ซึ่งเป็นส่วนที่สำคัญที่สุดของการวิเคราะห์แบ็กเอนด์นั้นได้มาจากแบบจำลองการเรียนรู้ของเครื่อง

ในกรณีที่แบ็กเอนด์ของระบบคลาวด์ไม่มีคำตัดสินจะขอไฟล์ทั้งหมดสำหรับการวิเคราะห์โดยละเอียด จนกว่าไฟล์จะถูกอัปโหลดและระบบคลาวด์ยืนยันการรับไฟล์เดียวกัน Windows Defender จะล็อกไฟล์และไม่อนุญาตให้ทำงานบนไคลเอนต์ นี่คือการเปลี่ยนแปลงสำคัญที่ทีม Windows Defender ได้ทำในการอัปเดต Windows 10 Anniversary (v1607)

ก่อนหน้านี้ไฟล์ที่น่าสงสัยได้รับอนุญาตให้ทำงานในขณะที่การอัปโหลดกำลังดำเนินการพร้อมกัน แม้ว่าก่อนการอัปโหลดจะเสร็จสมบูรณ์มัลแวร์จะทำงานเสร็จสิ้นและทำลายตัวเอง

เมื่อมาถึงการสาธิตของทีมวิศวกรรม Windows Defender มีสองสถานการณ์ที่กล่าวถึง ในสถานการณ์ที่ 1 ระบบคลาวด์แบ็กเอนด์จัดประเภทไฟล์เป็นมัลแวร์โดยยึดตามข้อมูลเมตาเท่านั้น อุปกรณ์ # 1 ที่ปิดการป้องกันด้วยระบบคลาวด์จะติดไวรัสเมื่อเรียกใช้ไฟล์ และอุปกรณ์ # 2 ที่เปิดการป้องกันบนคลาวด์จะได้รับการปกป้องทันที

ในสถานการณ์ที่ 2 ผู้ใช้รายแรกเรียกใช้มัลแวร์ที่ไม่รู้จัก ระบบคลาวด์ไม่ได้รับการตัดสินจากข้อมูลเมตาดังนั้นไฟล์ทั้งหมดจึงถูกส่งโดยอัตโนมัติ

เวลาในการส่งคือเวลา 19:48:59 น. - แบ็กเอนด์ทำการวิเคราะห์อัตโนมัติเสร็จสิ้นในเวลา 19:49:01 น. (ประมาณ 2 วินาทีนับจากเวลาที่อัปโหลดเข้าสู่ระบบคลาวด์แบ็กเอนด์) และระบุว่าไฟล์นั้นเป็นมัลแวร์

ตั้งแต่วินาทีแรก Windows Defender จะบล็อกการพบไฟล์นั้นในอนาคตดังนั้นจึงปกป้องอุปกรณ์อื่น ๆ นับล้านที่เปิดใช้งานการป้องกันบนคลาวด์ของ Windows Defender

Microsoft ยังมีไซต์ทดสอบชื่อ Windows Defender Testground ซึ่งคุณสามารถตรวจสอบประสิทธิภาพของการปกป้องระบบคลาวด์ของ Defender ได้โดยการอัปโหลดตัวอย่าง

แม้ว่าการสาธิตครั้งที่สองจะไม่ประสบความสำเร็จเนื่องจากปัญหาการเชื่อมต่อกับระบบคลาวด์ แต่โดยรวมแล้วมันเป็นการนำเสนอที่มีประโยชน์ซึ่งอธิบายถึงความสำคัญของคุณลักษณะการป้องกันบนระบบคลาวด์“ block at first sight” ของ Windows Defender หากคุณปิดฟีเจอร์นี้ฉันเดาว่าคุณคงต้องคิดทบทวน

การอ้างอิงและเครดิต

เปิดใช้งานคุณสมบัติ Block at First Sight เพื่อตรวจจับมัลแวร์ภายในไม่กี่วินาที
สำรวจ Windows Defender Instant Protection | Microsoft Ignite 2016 | ช่อง 9


คำขอเล็ก ๆ น้อย ๆ : หากคุณชอบโพสต์นี้โปรดแชร์สิ่งนี้?

การแบ่งปัน 'เล็ก ๆ น้อย ๆ ' หนึ่งครั้งจากคุณจะช่วยในการเติบโตของบล็อกนี้ได้มาก คำแนะนำที่ดีบางประการ:
  • ขามัน!
  • แบ่งปันไปยังบล็อกที่คุณชื่นชอบ + Facebook, Reddit
  • ทวีต!
ขอบคุณมากสำหรับการสนับสนุนผู้อ่านของฉัน ใช้เวลาไม่เกิน 10 วินาที ปุ่มแชร์อยู่ด้านล่าง :)