Tính năng Bảo vệ Đám mây “Chặn ở cái nhìn đầu tiên” của Bộ bảo vệ Windows hoạt động như thế nào? - Winhelponline

How Windows Defender Block First Sight Cloud Protection Feature Works



Windows Defender hoặc nền tảng chống phần mềm độc hại của Microsoft bảo vệ máy tính gia đình, máy chủ và các dịch vụ trực tuyến như Office 365. Với sự phong phú của dữ liệu đo lường và thông minh về mối đe dọa, phần mềm phụ trợ đám mây của Defender là một dịch vụ bảo vệ phần mềm độc hại đáng kinh ngạc.

khối hậu vệ ngay từ cái nhìn đầu tiên







Khi một phần mềm độc hại mới xuất hiện trong tự nhiên, có thể mất hàng giờ để nhóm chống phần mềm độc hại của Microsoft (hoặc bất kỳ công ty chống vi rút hoặc phần mềm độc hại nào khác cho vấn đề đó) để phân tích, thiết kế đối chiếu và thực hiện kích hoạt phần mềm độc hại của tệp trước nó có thể phát hành bản cập nhật chữ ký. Và, chưa kể đến QC mà bản cập nhật chữ ký phải đi qua.



Liên quan đến việc bảo vệ phần mềm độc hại, không thể phủ nhận thực tế rằng bảo vệ dựa trên chữ ký là chính. Nhưng điều đó là chưa đủ, vì nó có thể không phải lúc nào cũng hữu ích - đặc biệt là trong trường hợp phần mềm độc hại hoàn toàn mới hoặc không xác định. Theo báo cáo của Microsoft khi phần mềm độc hại mới xuất hiện, 30% máy tính bị nhiễm trong vòng bốn giờ đầu tiên. Các bản cập nhật chữ ký thường đến sau vài giờ.



khối hậu vệ ngay từ cái nhìn đầu tiên





Mặt khác, tính năng bảo vệ dựa trên đám mây mạnh mẽ của Windows Defender sử dụng phương pháp phỏng đoán, mô hình học máy và thực hiện phân tích chi tiết tại phần phụ trợ để xác định xem tệp có phải là phần mềm độc hại hay không.

Tính năng bảo vệ dựa trên đám mây của Windows Defender hoặc tính năng “chặn ngay từ cái nhìn đầu tiên” được bật theo mặc định. Nếu bạn đã tắt tùy chọn bảo vệ đám mây trong Bộ bảo vệ Windows do lo ngại về 'quyền riêng tư', tốt hơn bạn nên xem bản trình diễn của nhóm Kỹ thuật bộ bảo vệ Windows, cho thấy mức độ hiệu quả của bảo vệ đám mây.



Kênh 9 Video: Khám phá Bảo vệ tức thì của Windows Defender | Microsoft Ignite 2016

Đảm bảo rằng Bảo vệ đám mây “Chặn ở cái nhìn đầu tiên” được bật

Nhấp vào Bắt đầu, Cài đặt. (Hoặc nhấn WinKey + i)

Trong trang Cài đặt, nhấp vào Cập nhật & Bảo mật, sau đó nhấp vào Bộ bảo vệ Windows.

Đảm bảo rằng Bảo vệ dựa trên đám mâyGửi mẫu tự động cài đặt được bật.

bảo vệ đám mây bảo vệ

Khi tùy chọn gửi mẫu và bảo vệ đám mây “Chặn ngay từ cái nhìn đầu tiên” của Bộ bảo vệ Windows được bật trong Cài đặt của Bộ bảo vệ Windows, nếu hệ thống gặp một tệp đáng ngờ sẽ vượt qua tính năng phát hiện dựa trên chữ ký, Bộ bảo vệ sẽ gửi siêu dữ liệu của tệp đáng ngờ tới phần phụ trợ đám mây. Lưu ý rằng không phải lúc nào đám mây cũng yêu cầu toàn bộ tệp.

Các máy ở phần phụ trợ đám mây phân tích siêu dữ liệu, sử dụng các dữ liệu lôgic, danh tiếng URL và đo từ xa khác nhau để xác định xem tệp có phải là phần mềm độc hại hay không.

Ví dụ: nếu tên tệp phần mềm độc hại khớp với tên của mô-đun Windows cốt lõi, phần phụ trợ đám mây sẽ kiểm tra chữ ký kỹ thuật số của mô-đun. Nếu nó không được ký hoặc không được ký bởi Microsoft và nó được 'phân loại' là phần mềm độc hại (với mức 'độ tin cậy' 85%), thì đám mây xác định tệp là phần mềm độc hại.

bảo vệ đám mây bảo vệ

Các đánh giá 'Phân loại' và 'độ tin cậy' cấu thành phần quan trọng nhất của phân tích phụ trợ, được thu thập thông qua mô hình học máy.

Trong trường hợp phần mềm phụ trợ đám mây không có kết quả, nó sẽ yêu cầu toàn bộ tệp để phân tích chi tiết. Cho đến khi tệp được tải lên và đám mây xác nhận việc nhận cùng một tệp, Bộ bảo vệ Windows sẽ khóa tệp và không cho phép chạy trên máy khách. Đó là thay đổi quan trọng mà nhóm Bộ bảo vệ Windows đã thực hiện trong Bản cập nhật kỷ niệm Windows 10 (v1607).

Trước đây, tệp đáng ngờ được phép chạy trong khi tải lên đồng bộ. Ngay cả trước khi quá trình tải lên hoàn tất, phần mềm độc hại đã chạy xong và tự hủy.

Đến với bản demo của nhóm Kỹ thuật Bộ bảo vệ Windows, có hai kịch bản được thảo luận. Trong Kịch bản 1, phần mềm phụ trợ đám mây phân loại tệp là phần mềm độc hại, chỉ dựa trên siêu dữ liệu. Thiết bị số 1 bị tắt bảo vệ đám mây, bị nhiễm khi chạy tệp. Và thiết bị số 2 với tính năng Bảo vệ đám mây được Bật, được bảo vệ ngay lập tức.

Trong tình huống 2, người dùng đầu tiên chạy phần mềm độc hại không xác định. Đám mây không đưa ra phán quyết nào dựa trên siêu dữ liệu và do đó toàn bộ tệp đã được gửi tự động.

Thời gian gửi là 19:48:59 giờ - chương trình phụ trợ đã hoàn thành phân tích tự động lúc 19:49:01 giờ (~ 2 giây kể từ thời điểm tải lên gặp phần mềm phụ trợ đám mây) và xác định tệp là phần mềm độc hại.

Ngay từ lúc này, Windows Defender sẽ chặn bất kỳ cuộc gặp gỡ nào trong tương lai của tệp đó, do đó bảo vệ hàng triệu thiết bị khác đã bật tính năng bảo vệ dựa trên đám mây của Windows Defender.

Microsoft cũng có một trang web thử nghiệm có tên Kiểm tra Windows Defender nơi bạn có thể kiểm tra tính hiệu quả của tính năng bảo vệ đám mây của Defender bằng cách tải lên các mẫu.

Mặc dù bản trình diễn thứ hai không thành công do một số sự cố kết nối với đám mây, nhưng nhìn chung đây là một bản trình bày hữu ích giải thích tầm quan trọng của tính năng bảo vệ dựa trên đám mây “chặn ngay từ cái nhìn đầu tiên” của Bộ bảo vệ Windows. Nếu bạn đã tắt tính năng này, tôi đoán bây giờ bạn sẽ suy nghĩ lại.

Tài liệu tham khảo & Tín dụng

Bật tính năng Block at First Sight để phát hiện phần mềm độc hại trong vòng vài giây
Khám phá Bảo vệ tức thì của Windows Defender | Microsoft Ignite 2016 | Kênh 9


Một yêu cầu nhỏ: Nếu bạn thích bài viết này, hãy chia sẻ nó?

Một chia sẻ 'nhỏ' của bạn sẽ giúp ích rất nhiều cho sự phát triển của blog này. Một số gợi ý tuyệt vời:
  • Ghim nó!
  • Chia sẻ nó lên blog yêu thích của bạn + Facebook, Reddit
  • Tweet nó!
Vì vậy, cảm ơn bạn rất nhiều vì đã ủng hộ, độc giả của tôi. Nó sẽ không mất quá 10 giây thời gian của bạn. Các nút chia sẻ ở ngay bên dưới. :)