defender block at first sight

Windows Defender hoặc nền tảng chống phần mềm độc hại của Microsoft bảo vệ máy tính gia đình, máy chủ và các dịch vụ trực tuyến như Office 365. Với sự phong phú của dữ liệu đo lường và thông minh về mối đe dọa, phần mềm phụ trợ đám mây của Defender là một dịch vụ bảo vệ phần mềm độc hại đáng kinh ngạc.

khối hậu vệ ngay từ cái nhìn đầu tiên

Khi một phần mềm độc hại mới xuất hiện trong tự nhiên, có thể mất hàng giờ để nhóm chống phần mềm độc hại của Microsoft (hoặc bất kỳ công ty chống vi rút hoặc phần mềm độc hại nào khác cho vấn đề đó) để phân tích, thiết kế đối chiếu và thực hiện kích hoạt phần mềm độc hại của tệp trước nó có thể phát hành bản cập nhật chữ ký. Và, chưa kể đến QC mà bản cập nhật chữ ký phải đi qua.

Liên quan đến việc bảo vệ phần mềm độc hại, không thể phủ nhận thực tế rằng bảo vệ dựa trên chữ ký là chính. Nhưng điều đó vẫn chưa đủ, vì nó có thể không phải lúc nào cũng hữu ích – đặc biệt là trong trường hợp phần mềm độc hại hoàn toàn mới hoặc không xác định. Theo báo cáo của Microsoft khi một phần mềm độc hại mới xuất hiện, 30% máy tính bị nhiễm trong vòng bốn giờ đầu tiên. Các bản cập nhật chữ ký thường đến sau vài giờ.

khối hậu vệ ngay từ cái nhìn đầu tiên

Mặt khác, tính năng bảo vệ dựa trên đám mây mạnh mẽ của Windows Defender sử dụng phương pháp phỏng đoán, mô hình học máy và thực hiện phân tích chi tiết tại phần phụ trợ để xác định xem tệp có phải là phần mềm độc hại hay không.

Tính năng bảo vệ dựa trên đám mây của Windows Defender hoặc tính năng “chặn ngay từ cái nhìn đầu tiên” được bật theo mặc định. Nếu bạn đã tắt tùy chọn bảo vệ đám mây trong Windows Defender do lo ngại về “quyền riêng tư”, tốt hơn bạn nên xem bản trình diễn của nhóm Kỹ thuật của Windows Defender, cho thấy mức độ hiệu quả của bảo vệ đám mây.

Đảm bảo rằng Bảo vệ đám mây “Chặn ở cái nhìn đầu tiên” được bật

Nhấp vào Start, Cài đặt. (Hoặc nhấn WinKey + i)

Trong trang Cài đặt, nhấp vào Cập nhật & Bảo mật, sau đó nhấp vào Windows Defender.

Đảm bảo rằng Bảo vệ dựa trên đám mâyGửi mẫu tự động cài đặt được bật.

bảo vệ đám mây bảo vệ

Khi tùy chọn gửi mẫu và bảo vệ đám mây “Chặn ngay từ cái nhìn đầu tiên” của Windows Defender được bật trong Cài đặt Windows Defender, nếu hệ thống gặp một tệp đáng ngờ sẽ vượt qua tính năng phát hiện dựa trên chữ ký, Bộ bảo vệ sẽ gửi siêu dữ liệu của tệp đáng ngờ tới phần phụ trợ đám mây. Lưu ý rằng đám mây không phải lúc nào cũng yêu cầu toàn bộ tệp.

Các máy ở phần phụ trợ đám mây phân tích siêu dữ liệu, sử dụng các dữ liệu lôgic, danh tiếng URL và đo từ xa khác nhau để xác định xem tệp có phải là phần mềm độc hại hay không.

Ví dụ: nếu tên tệp phần mềm độc hại khớp với tên của mô-đun Windows cốt lõi, chương trình phụ trợ đám mây sẽ kiểm tra chữ ký số của mô-đun. Nếu nó không được ký hoặc không được ký bởi Microsoft và nó được “phân loại” là phần mềm độc hại (với mức “độ tin cậy” 85%), thì đám mây xác định tệp là phần mềm độc hại.

bảo vệ đám mây bảo vệ

Các đánh giá “Phân loại” và “độ tin cậy” tạo thành phần quan trọng nhất của phân tích phụ trợ, được thu thập thông qua mô hình học máy.

Trong trường hợp phần mềm phụ trợ đám mây không có kết quả, nó sẽ yêu cầu toàn bộ tệp để phân tích chi tiết. Cho đến khi tệp được tải lên và đám mây xác nhận việc nhận giống như vậy, Windows Defender sẽ khóa tệp và không cho phép chạy trên máy khách. Đó là một thay đổi quan trọng mà nhóm Windows Defender đã thực hiện trong Bản cập nhật kỷ niệm Windows 10 (v1607).

Trước đây, tệp đáng ngờ được phép chạy trong khi quá trình tải lên đang diễn ra đồng bộ. Ngay cả trước khi quá trình tải lên hoàn tất, phần mềm độc hại đã chạy xong và tự hủy.

Đến với bản demo của nhóm Kỹ thuật Windows Defender, có hai kịch bản được thảo luận. Trong Kịch bản 1, phần mềm phụ trợ đám mây phân loại tệp là phần mềm độc hại, chỉ dựa trên siêu dữ liệu. Thiết bị số 1 bị tắt bảo vệ đám mây, bị nhiễm khi chạy tệp. Và thiết bị số 2 với tính năng Bảo vệ đám mây được Bật, được bảo vệ ngay lập tức.

Trong tình huống 2, người dùng đầu tiên chạy phần mềm độc hại không xác định. Đám mây không đưa ra phán quyết nào dựa trên siêu dữ liệu và do đó toàn bộ tệp đã được gửi tự động.

Thời gian gửi là 19:48:59 giờ – chương trình phụ trợ đã hoàn thành phân tích tự động lúc 19:49:01 giờ (~ 2 giây kể từ thời điểm tải lên gặp phần mềm phụ trợ đám mây) và xác định tệp là phần mềm độc hại.

Ngay từ lúc này, Windows Defender sẽ chặn bất kỳ lần truy cập nào trong tương lai của tệp đó, do đó bảo vệ hàng triệu thiết bị khác đã bật tính năng bảo vệ dựa trên đám mây của Windows Defender.

Microsoft cũng có một trang web thử nghiệm có tên Kiểm tra Windows Defender nơi bạn có thể kiểm tra hiệu quả của tính năng bảo vệ đám mây của Defender bằng cách tải lên các mẫu.

Mặc dù bản demo thứ hai không thành công do một số vấn đề kết nối với đám mây, nhưng nhìn chung, đây là một bài thuyết trình hữu ích giải thích tầm quan trọng của tính năng bảo vệ dựa trên đám mây “chặn ngay từ cái nhìn đầu tiên” của Windows Defender. Nếu bạn đã tắt tính năng này, tôi đoán bây giờ bạn sẽ phải suy nghĩ lại.

Tài liệu tham khảo & Tín dụng

Bật tính năng Block at First Sight để phát hiện phần mềm độc hại trong vòng vài giây
Khám phá Bảo vệ tức thì của Windows Defender | Microsoft Ignite 2016 | Kênh 9

LEAVE A REPLY

Please enter your comment!
Please enter your name here