Come funziona la funzionalità di protezione cloud 'Blocca a prima vista' di Windows Defender? - Winhelponline

How Windows Defender Block First Sight Cloud Protection Feature Works

Windows Defender o la piattaforma anti-malware Microsoft protegge i computer di casa, i server e i servizi online come Office 365. Con la ricchezza di informazioni sulle minacce e dati di telemetria, il backend cloud di Defender è un servizio di protezione dal malware sorprendente.

blocco del difensore a prima vista



Quando un nuovo malware appare in natura, possono essere necessarie ore prima che il team antimalware di Microsoft (o qualsiasi altra azienda antivirus o antimalware) analizzi, decodifichi ed esegua la detonazione del file prima del malware. può rilasciare un aggiornamento della firma. E, per non parlare del controllo di qualità, l'aggiornamento della firma deve passare.



Per quanto riguarda la protezione dal malware, non si può negare il fatto che la protezione basata sulla firma sia fondamentale. Ma ciò non è sufficiente, in quanto potrebbe non essere sempre d'aiuto, specialmente nel caso di malware nuovo di zecca o sconosciuto. Secondo il rapporto di Microsoft, quando viene visualizzato un nuovo malware, il 30% dei computer viene infettato entro le prime quattro ore. Gli aggiornamenti della firma di solito arrivano ore dopo.



blocco del difensore a prima vista

La robusta protezione basata su cloud di Windows Defender, d'altra parte, utilizza l'euristica, il modello di apprendimento automatico ed esegue analisi dettagliate sul back-end per determinare se un file è malware.

La protezione basata su cloud di Windows Defender o la funzionalità 'blocco a prima vista' è abilitata per impostazione predefinita. Se hai disattivato l'opzione di protezione cloud in Windows Defender a causa di problemi di 'privacy', è meglio guardare la demo del team di Windows Defender Engineering, che mostra quanto può essere efficace la protezione cloud.



Video canale 9: esplora la protezione istantanea di Windows Defender | Microsoft Ignite 2016

Assicurati che la protezione cloud 'Blocca a prima vista' sia abilitata

Fare clic su Start, Impostazioni. (Oppure premi WinKey + i)

Nella pagina Impostazioni, fai clic su Aggiorna e sicurezza, quindi su Windows Defender.

Assicurati che Protezione basata su cloud e Invio automatico del campione le impostazioni sono abilitate.

protezione cloud defender

Quando la protezione cloud 'Blocca a prima vista' di Windows Defender e le opzioni di invio dei campioni sono abilitate nelle impostazioni di Windows Defender, se il sistema rileva un file sospetto che altrimenti supera il rilevamento basato sulla firma, Defender invia i metadati del file sospetto al cloud back-end. Tieni presente che il cloud non richiede sempre l'intero file.

Le macchine nel back-end cloud analizzano i metadati, utilizzando le varie logiche, reputazione dell'URL e dati di telemetria per determinare se il file è malware.

Ad esempio, se il nome del file del malware corrisponde al nome di un modulo Windows principale, il backend cloud controlla la firma digitale del modulo. Se non è firmato o non è firmato da Microsoft e la 'classificazione' è malware (con un livello di 'affidabilità' dell'85%), il cloud determina che il file è malware.

protezione cloud defender

Le valutazioni di “Classificazione” e “fiducia” che costituiscono la parte più importante dell'analisi di backend, sono ottenute attraverso il modello di machine learning.

Nel caso in cui il back-end cloud non venga emesso senza verdetto, richiede l'intero file per un'analisi dettagliata. Finché il file non viene caricato e il cloud conferma la ricezione dello stesso, Windows Defender blocca il file e non ne consente l'esecuzione sul client. Questa è una modifica fondamentale apportata dal team di Windows Defender nell'aggiornamento dell'anniversario di Windows 10 (v1607).

In precedenza, il file sospetto poteva essere eseguito mentre il caricamento era in corso, in modo sincrono. Anche prima del completamento del caricamento, il malware avrebbe terminato l'esecuzione e si sarebbe autodistrutto.

Venendo alla demo del team di Windows Defender Engineering, sono stati discussi due scenari. Nello scenario 1, il backend cloud classifica un file come malware, solo in base ai metadati. Il dispositivo n. 1 con protezione cloud disattivata, viene infettato durante l'esecuzione del file. E il dispositivo n. 2 con protezione cloud attivata, è immediatamente protetto.

Nello scenario 2, il primo utente esegue un malware sconosciuto. Il cloud non ha raggiunto alcun verdetto in base ai metadati e quindi l'intero file è stato inviato automaticamente.

Il tempo di invio era alle 19:48:59 - il backend ha completato l'analisi automatica alle 19:49:01 (~ 2 secondi dal momento in cui il caricamento ha raggiunto il backend cloud) e ha determinato che il file è malware.

Dal momento stesso, Windows Defender bloccherebbe qualsiasi incontro futuro di quel file, proteggendo così milioni di altri dispositivi che hanno la protezione basata su cloud di Windows Defender abilitata.

Microsoft ha anche un sito di test denominato Windows Defender Testground dove puoi verificare l'efficacia della protezione cloud di Defender caricando campioni.

Sebbene la seconda demo non abbia avuto successo a causa di alcuni problemi di connettività con il cloud, nel complesso è una presentazione utile che spiega l'importanza della funzione di protezione basata su cloud 'blocco a prima vista' di Windows Defender. Se avessi disattivato la funzione, immagino che ora avrai un secondo pensiero.

Riferimenti e crediti

Abilita la funzione Blocca a prima vista per rilevare il malware in pochi secondi
Esplora Windows Defender Instant Protection | Microsoft Ignite 2016 | Canale 9


Una piccola richiesta: se ti è piaciuto questo post, condividilo?

Una tua 'minuscola' condivisione aiuterebbe seriamente la crescita di questo blog. Alcuni ottimi suggerimenti:
  • Fissalo!
  • Condividilo sul tuo blog preferito + Facebook, Reddit
  • Tweet it!
Quindi grazie mille per il tuo supporto, mio ​​lettore. Non ci vorranno più di 10 secondi del tuo tempo. I pulsanti di condivisione sono proprio sotto. :)