Windows Defender oder die Microsoft-Anti-Malware-Plattform schützen Heimcomputer, Server und Onlinedienste wie Office 365. Mit der Fülle an Bedrohungsinformationen und Telemetriedaten ist das Cloud-Backend von Defender ein erstaunlicher Malware-Schutzdienst.
Wenn eine neue Malware in freier Wildbahn auftritt, kann es Stunden dauern, bis das Microsoft-Anti-Malware-Team (oder ein anderes Anti-Virus- oder Anti-Malware-Unternehmen) die Datei analysiert, zurückentwickelt und eine Malware-Detonation der Datei durchgeführt hat kann ein Signatur-Update veröffentlichen. Und ganz zu schweigen von der Qualitätskontrolle, die das Signatur-Update durchlaufen muss.
In Bezug auf den Schutz vor Malware lässt sich nicht leugnen, dass der signaturbasierte Schutz an erster Stelle steht. Dies reicht jedoch nicht aus, da dies möglicherweise nicht immer hilfreich ist - insbesondere bei brandneuer oder unbekannter Malware. Laut Microsoft-Bericht sind 30% der Computer innerhalb der ersten vier Stunden infiziert, wenn eine neue Malware auftritt. Die Signaturaktualisierungen erfolgen normalerweise Stunden später.
Der robuste Cloud-basierte Schutz von Windows Defender verwendet dagegen Heuristiken, ein Modell für maschinelles Lernen und führt im Backend detaillierte Analysen durch, um festzustellen, ob es sich bei einer Datei um Malware handelt.
Der Cloud-basierte Windows Defender-Schutz oder die Funktion 'Auf den ersten Blick blockieren' ist standardmäßig aktiviert. Wenn Sie die Cloud-Schutzoption in Windows Defender aus Datenschutzgründen deaktiviert haben, sollten Sie sich die Demo des Windows Defender Engineering-Teams ansehen, die zeigt, wie effektiv der Cloud-Schutz sein kann.
Video zu Kanal 9: Windows Defender-Sofortschutz erkunden | Microsoft Ignite 2016
Stellen Sie sicher, dass der Cloud-Schutz „Auf den ersten Blick blockieren“ aktiviert ist
Klicken Sie auf Start, Einstellungen. (Oder drücken Sie WinKey + i)
Klicken Sie auf der Seite Einstellungen auf Update & Sicherheit und dann auf Windows Defender.
Stelle sicher das Cloud-basierter Schutz und Automatische Probenübermittlung Einstellungen sind aktiviert.
Wenn die Cloud-Schutz- und Beispielübermittlungsoptionen von Windows Defender in den Windows Defender-Einstellungen aktiviert sind und das System auf eine verdächtige Datei stößt, die ansonsten die signaturbasierte Erkennung besteht, sendet Defender die Metadaten der verdächtigen Datei an das Cloud-Backend. Beachten Sie, dass die Cloud nicht immer die gesamte Datei anfordert.
Die Computer im Cloud-Backend analysieren die Metadaten und verwenden die verschiedenen Logik-, URL-Reputations- und Telemetriedaten, um festzustellen, ob es sich bei der Datei um Malware handelt.
Wenn beispielsweise der Dateiname der Malware mit dem Namen eines Windows-Kernmoduls übereinstimmt, überprüft das Cloud-Backend die digitale Signatur des Moduls. Wenn es nicht signiert oder nicht von Microsoft signiert ist und die 'Klassifizierung' Malware ist (mit einem Vertrauensniveau von 85%), stellt die Cloud fest, dass es sich bei der Datei um Malware handelt.
Die Bewertungen „Klassifizierung“ und „Vertrauen“, die den wichtigsten Teil der Backend-Analyse darstellen, werden über das Modell des maschinellen Lernens ermittelt.
Falls das Cloud-Backend kein Urteil gefällt, fordert es die gesamte Datei für eine detaillierte Analyse an. Bis die Datei hochgeladen wird und die Cloud den Empfang bestätigt, sperrt Windows Defender die Datei und lässt sie nicht auf dem Client laufen. Dies ist eine wichtige Änderung, die das Windows Defender-Team im Windows 10 Anniversary Update (v1607) vorgenommen hat.
Zuvor durfte die verdächtige Datei synchron ausgeführt werden, während der Upload ausgeführt wurde. Noch bevor der Upload abgeschlossen war, wäre die Malware vollständig ausgeführt worden und hätte sich selbst zerstört.
Bei der Demo des Windows Defender Engineering-Teams wurden zwei Szenarien erörtert. In Szenario 1 klassifiziert das Cloud-Backend eine Datei nur anhand der Metadaten als Malware. Gerät Nr. 1 mit deaktiviertem Cloud-Schutz wird beim Ausführen der Datei infiziert. Und Gerät Nr. 2 mit aktiviertem Cloud-Schutz ist sofort geschützt.
In Szenario 2 führt der erste Benutzer eine unbekannte Malware aus. Die Cloud kam aufgrund der Metadaten zu keinem Urteil, sodass die gesamte Datei automatisch übermittelt wurde.
Die Übermittlungszeit war um 19:48:59 Uhr - das Backend schloss die automatisierte Analyse um 19:49:01 Uhr ab (~ 2 Sekunden ab dem Zeitpunkt, an dem der Upload das Cloud-Backend erreichte) und stellte fest, dass es sich bei der Datei um Malware handelt.
Von dem Moment an würde Windows Defender zukünftige Begegnungen mit dieser Datei blockieren und so Millionen anderer Geräte schützen, auf denen der Cloud-basierte Windows Defender-Schutz aktiviert ist.
Microsoft hat auch eine Testseite mit dem Namen Windows Defender Testground Hier können Sie die Wirksamkeit des Cloud-Schutzes von Defender überprüfen, indem Sie Beispiele hochladen.
Obwohl die zweite Demo aufgrund einiger Konnektivitätsprobleme mit der Cloud nicht erfolgreich war, handelt es sich insgesamt um eine nützliche Präsentation, in der die Bedeutung der Cloud-basierten Schutzfunktion 'Auf den ersten Blick blockieren' von Windows Defender erläutert wird. Wenn Sie die Funktion deaktiviert haben, haben Sie jetzt wohl einen zweiten Gedanken.
Referenzen & Credits
Aktivieren Sie die Funktion Auf den ersten Blick blockieren, um Malware innerhalb von Sekunden zu erkennen
Entdecken Sie Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanal 9
Eine kleine Anfrage: Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn bitte mit.
Ein 'winziger' Anteil von Ihnen würde ernsthaft zum Wachstum dieses Blogs beitragen. Einige großartige Vorschläge:- Pin es!
- Teile es mit deinem Lieblingsblog + Facebook, Reddit
- Tweete es!