كيف يعمل Windows Defender "Block at First Sight" Feature Cloud Protection Feature؟

2018-05-18 10:54:35
رئيسي·مايكروسوفت·كيف يعمل Windows Defender "Block at First Sight" Feature Cloud Protection Feature؟

يحمي Windows Defender أو النظام الأساسي لمكافحة البرامج الضارة من Microsoft أجهزة الكمبيوتر المنزلية والخوادم والخدمات عبر الإنترنت مثل Office 365. مع وفرة معلومات التهديدات وبيانات القياس عن بُعد ، تعد الواجهة الخلفية السحابية لـ Defender خدمة مذهلة لحماية البرامج الضارة.

عندما تظهر برامج ضارة جديدة في البرية ، يمكن أن يستغرق فريق مكافحة البرامج الضارة التابع لشركة Microsoft ساعات (أو أي شركة أخرى لمكافحة الفيروسات أو شركة مكافحة البرامج الضارة لهذا الأمر) ساعات لتحليل الملف وهندسته العكسية وتنفيذ تفجير البرامج الضارة قبل ذلك يمكن إصدار تحديث التوقيع. ناهيك عن مراقبة الجودة التي يجب أن يمر بها تحديث التوقيع.

فيما يتعلق بالحماية من البرامج الضارة ، لا يمكن إنكار حقيقة أن الحماية القائمة على التوقيع هي أمر أساسي. لكن هذا ليس كافيًا ، لأنه قد لا يساعد دائمًا - خاصة في حالة البرامج الضارة الجديدة أو غير المعروفة. وفقًا لتقرير Microsoft عند ظهور برامج ضارة جديدة ، فإن 30٪ من أجهزة الكمبيوتر مصابة خلال الساعات الأربع الأولى. عادةً ما تأتي تحديثات التوقيع بعد ساعات.

من ناحية أخرى ، تستخدم الحماية القوية المستندة إلى السحابة من Windows Defender الاستدلال ، ونموذج التعلم الآلي ، وتقوم بتحليل مفصل في الخلفية لتحديد ما إذا كان الملف عبارة عن برامج ضارة.

يتم تمكين ميزة الحماية المستندة إلى مجموعة النظراء في Windows Defender أو ميزة "الحظر من النظرة الأولى" افتراضيًا. إذا قمت بإيقاف تشغيل خيار الحماية السحابية في Windows Defender بسبب مخاوف "الخصوصية" ، فمن الأفضل مشاهدة العرض التوضيحي من قبل فريق Windows Defender Engineering ، والذي يوضح مدى فعالية الحماية السحابية.

قناة 9 فيديو: استكشاف الحماية الفورية لـ Windows Defender | مايكروسوفت إيجنايت 2016

تأكد من تمكين الحماية من السحابة "Block at First Sight"

انقر فوق ابدأ ، إعدادات. (أو اضغط WinKey + i)

في صفحة الإعدادات ، انقر فوق التحديث والأمان ثم Windows Defender.

تأكد من تمكين إعدادات الحماية المستندة إلى السحابة والإرسال التلقائي للعينة .

عندما يتم تمكين الحماية السحابية "حظر للوهلة الأولى" وخيارات الإرسال النموذجية لـ Windows Defender في إعدادات Windows Defender ، إذا واجه النظام ملفًا مريبًا يمر بطريقة أخرى بالكشف القائم على التوقيع ، يرسل Defender البيانات الوصفية للملف المشبوه إلى الواجهة السحابية. لاحظ أن السحابة لا تطلب دائمًا الملف بأكمله.

تقوم الأجهزة الموجودة في الواجهة الخلفية السحابية بتحليل البيانات الوصفية ، والاستفادة من مختلف المنطق وسمعة عنوان URL وبيانات القياس عن بُعد لتحديد ما إذا كان الملف عبارة عن برامج ضارة.

على سبيل المثال ، إذا كان اسم ملف البرامج الضارة يتطابق مع اسم وحدة Windows الأساسية ، فإن الواجهة الخلفية السحابية تتحقق من التوقيع الرقمي للوحدة النمطية. إذا كانت غير موقعة أو غير موقعة من قبل Microsoft ، و "تصنيفها" عبارة عن برامج ضارة (مع مستوى "الثقة" 85٪) ، فإن السحابة تحدد أن الملف هو برنامج ضار.

يتم الحصول على تقييمات "التصنيف" و "الثقة" التي تشكل أهم جزء من تحليل الواجهة الخلفية ، من خلال نموذج التعلم الآلي.

في حالة ظهور الواجهة الخلفية السحابية بدون حكم ، فإنها تطلب من الملف بأكمله تحليلًا تفصيليًا. حتى يتم تحميل الملف وتؤكد السحابة استلامه ، يقوم Windows Defender بتأمين الملف ولا يسمح بتشغيله على العميل. هذا تغيير رئيسي قام به فريق Windows Defender في تحديث الذكرى السنوية لـ Windows 10 (v1607).

في السابق ، كان يُسمح بتشغيل الملف المريب أثناء التحميل بشكل متزامن. حتى قبل اكتمال التحميل ، ستنتهي البرامج الضارة وتدمير نفسها بنفسها.

قادمًا إلى العرض التوضيحي لفريق Windows Defender Engineering ، تمت مناقشة سيناريوهين. في السيناريو 1 ، تصنف الواجهة الخلفية السحابية ملفًا على أنه برنامج ضار ، استنادًا إلى البيانات الوصفية فقط. الجهاز رقم 1 مع إيقاف تشغيل الحماية السحابية ، يصاب عند تشغيل الملف. والجهاز رقم 2 مع تشغيل الحماية من السحابة ، محمي على الفور.

في السيناريو 2 ، يقوم المستخدم الأول بتشغيل برنامج ضار غير معروف. لم تصل السحابة إلى أي حكم بناءً على البيانات الوصفية ، وبالتالي تم إرسال الملف بالكامل تلقائيًا.

كان وقت التقديم في الساعة 19:48:59 ساعة - أكملت الواجهة الخلفية التحليل الآلي في الساعة 19:49:01 (~ 2 ثانية من وقت وصول التحميل إلى الواجهة السحابية) وقررت أن الملف عبارة عن برامج ضارة.

من اللحظة نفسها ، سيحظر Windows Defender أي لقاءات مستقبلية لهذا الملف ، وبالتالي يحمي ملايين الأجهزة الأخرى التي تم تمكين الحماية المستندة إلى السحابة لـ Windows Defender.

لدى Microsoft أيضًا موقع اختبار باسم Windows Defender Testground حيث يمكنك التحقق من فعالية حماية السحابة من Defender عن طريق تحميل العينات.

على الرغم من أن العرض التوضيحي الثاني لم ينجح بسبب بعض مشكلات الاتصال مع السحابة ، إلا أنه بشكل عام عرض مفيد يشرح أهمية ميزة الحماية المستندة إلى السحابة لـ Windows Defender "للوهلة الأولى". إذا قمت بإيقاف تشغيل الميزة ، أعتقد أنه سيكون لديك الآن فكرة ثانية.

المراجع والاعتمادات

قم بتمكين ميزة Block at First Sight للكشف عن البرامج الضارة في غضون ثوان
استكشف الحماية الفورية لـ Windows Defender | مايكروسوفت ايجنايت 2016 | القناة 9

اختيار المحرر