Windows Defender ou la plate-forme anti-malware de Microsoft protège les ordinateurs personnels, les serveurs et les services en ligne tels qu'Office 365. Grâce à la richesse des informations sur les menaces et de la télémétrie, le backend cloud de Defender est un service de protection contre les logiciels malveillants incroyable.
Lorsqu'un nouveau malware apparaît dans la nature, cela peut prendre des heures à l'équipe anti-malware de Microsoft (ou à toute autre société anti-virus ou anti-malware d'ailleurs) pour analyser, rétroconcevoir et exécuter la détonation de malware du fichier avant lui peut publier une mise à jour de signature. Et, sans parler du QC, la mise à jour de la signature doit passer.
En ce qui concerne la protection contre les logiciels malveillants, il est indéniable que la protection basée sur les signatures est primordiale. Mais cela ne suffit pas, car cela peut ne pas toujours aider - en particulier dans le cas de logiciels malveillants neufs ou inconnus. Selon le rapport de Microsoft lorsqu'un nouveau malware apparaît, 30% des ordinateurs sont infectés dans les quatre premières heures. Les mises à jour de signature arrivent généralement quelques heures plus tard.
D'autre part, la protection basée sur le cloud robuste de Windows Defender utilise l'heuristique, le modèle d'apprentissage automatique et effectue une analyse détaillée au niveau du backend pour déterminer si un fichier est un malware.
La protection basée sur le cloud de Windows Defender ou la fonctionnalité «bloquer à première vue» est activée par défaut. Si vous avez désactivé l'option de protection du cloud dans Windows Defender en raison de problèmes de «confidentialité», vous feriez mieux de regarder la démo de l'équipe d'ingénierie de Windows Defender, qui montre à quel point la protection du cloud peut être efficace.
Vidéo Channel 9: Découvrez la protection instantanée de Windows Defender | Microsoft Ignite 2016
Assurez-vous que la protection cloud «Block at First Sight» est activée
Cliquez sur Démarrer, Paramètres. (Ou appuyez sur WinKey + i)
Dans la page Paramètres, cliquez sur Mise à jour et sécurité, puis sur Windows Defender.
Assurez-vous que la protection basée sur le cloud et les paramètres de soumission d'échantillons automatiques sont activés.
Lorsque la protection du cloud «Bloquer à première vue» de Windows Defender et les options de soumission d'échantillons sont activées dans les paramètres de Windows Defender, si le système rencontre un fichier suspect qui passe autrement la détection basée sur la signature, Defender envoie les métadonnées du fichier suspect au backend cloud. Notez que le cloud ne demande pas toujours l'intégralité du fichier.
Les machines du backend cloud analysent les métadonnées, en utilisant les différentes logiques, la réputation des URL et les données de télémétrie pour déterminer si le fichier est un malware.
Par exemple, si le nom de fichier du logiciel malveillant correspond au nom d'un module Windows principal, le backend cloud vérifie la signature numérique du module. S'il n'est pas signé ou non signé par Microsoft et que sa «classification» est un malware (avec un niveau de «confiance» de 85%), le cloud détermine que le fichier est un malware.
Les évaluations de «classification» et de «confiance» qui constituent la partie la plus importante de l'analyse du backend sont obtenues grâce au modèle d'apprentissage automatique.
Dans le cas où le backend cloud ne donne aucun verdict, il demande l'intégralité du fichier pour une analyse détaillée. Tant que le fichier n'est pas téléchargé et que le cloud n'en confirme pas la réception, Windows Defender verrouille le fichier et ne permet pas de s'exécuter sur le client. C'est un changement clé que l'équipe Windows Defender a apporté dans la mise à jour anniversaire de Windows 10 (v1607).
Auparavant, le fichier suspect était autorisé à s'exécuter pendant le téléchargement, de manière synchrone. Même avant la fin du téléchargement, le malware aurait fini de s'exécuter et se serait auto-détruit.
En venant à la démonstration de l'équipe d'ingénierie de Windows Defender, deux scénarios ont été discutés. Dans le scénario 1, le backend cloud classe un fichier comme malware, uniquement en fonction des métadonnées. L'appareil n ° 1 avec la protection cloud désactivée, est infecté lors de l'exécution du fichier. Et l'appareil n ° 2 avec protection cloud activée, est instantanément protégé.
Dans le scénario 2, le premier utilisateur exécute un malware inconnu. Le cloud n'a obtenu aucun verdict sur la base des métadonnées, et donc le fichier entier a été automatiquement soumis.
L'heure de soumission était à 19:48:59 heures - le backend a terminé l'analyse automatisée à 19:49:01 heures (~ 2 secondes à partir du moment où le téléchargement a atteint le backend cloud) et a déterminé que le fichier était un malware.
À partir du moment même, Windows Defender bloquerait toutes les futures rencontres de ce fichier, protégeant ainsi des millions d'autres appareils sur lesquels la protection basée sur le cloud de Windows Defender est activée.
Microsoft dispose également d'un site de test nommé Windows Defender Testground où vous pouvez vérifier l'efficacité de la protection cloud de Defender en téléchargeant des échantillons.
Bien que la deuxième démo n'ait pas réussi en raison de certains problèmes de connectivité avec le cloud, dans l'ensemble, c'est une présentation utile qui explique l'importance de la fonctionnalité de protection basée sur le cloud de Windows Defender. Si vous aviez désactivé la fonctionnalité, je suppose que vous aurez maintenant une seconde pensée.
Références et crédits
Activez la fonction Bloquer à la première vue pour détecter les logiciels malveillants en quelques secondes
Découvrez la protection instantanée de Windows Defender | Microsoft Ignite 2016 | Canal 9