Wie funktioniert die Cloud-Schutzfunktion von Windows Defender „Auf den ersten Blick blockieren“?

Windows Defender oder die Microsoft-Anti-Malware-Plattform schützen Heimcomputer, Server und Onlinedienste wie Office 365. Mit der Fülle an Bedrohungsinformationen und Telemetriedaten ist das Cloud-Backend von Defender ein erstaunlicher Malware-Schutzdienst.

Wenn eine neue Malware in freier Wildbahn auftritt, kann es Stunden dauern, bis das Microsoft-Anti-Malware-Team (oder ein anderes Anti-Virus- oder Anti-Malware-Unternehmen) die Datei analysiert, zurückentwickelt und eine Detonation der Malware durchgeführt hat kann ein Signatur-Update veröffentlichen. Und ganz zu schweigen von der Qualitätskontrolle, die das Signatur-Update durchlaufen muss.

In Bezug auf den Schutz vor Malware lässt sich nicht leugnen, dass der signaturbasierte Schutz an erster Stelle steht. Dies reicht jedoch nicht aus, da dies möglicherweise nicht immer hilfreich ist - insbesondere bei brandneuer oder unbekannter Malware. Laut Microsoft-Bericht sind 30% der Computer innerhalb der ersten vier Stunden infiziert, wenn eine neue Malware auftritt. Die Signaturaktualisierungen erfolgen normalerweise Stunden später.

Der robuste Cloud-basierte Schutz von Windows Defender verwendet dagegen Heuristiken, ein Modell für maschinelles Lernen und führt im Backend detaillierte Analysen durch, um festzustellen, ob es sich bei einer Datei um Malware handelt.

Der Cloud-basierte Windows Defender-Schutz oder die Funktion "Auf den ersten Blick blockieren" ist standardmäßig aktiviert. Wenn Sie die Cloud-Schutzoption in Windows Defender aus Datenschutzgründen deaktiviert haben, sehen Sie sich besser die Demo des Windows Defender Engineering-Teams an, die zeigt, wie effektiv Cloud-Schutz sein kann.

Video zu Kanal 9: Windows Defender-Sofortschutz erkunden | Microsoft Ignite 2016

Stellen Sie sicher, dass der Cloud-Schutz „Auf den ersten Blick blockieren“ aktiviert ist

Klicken Sie auf Start, Einstellungen. (Oder drücken Sie WinKey + i)

$config[ads_text6] not found

Klicken Sie auf der Seite Einstellungen auf Update & Sicherheit und dann auf Windows Defender.

Stellen Sie sicher, dass die Einstellungen für Cloud-basierten Schutz und automatische Probenübermittlung aktiviert sind.

Wenn in den Windows Defender-Einstellungen die Cloud-Schutz- und Beispielübermittlungsoptionen "Auf den ersten Blick blockieren" von Windows Defender aktiviert sind und das System auf eine verdächtige Datei stößt, die ansonsten die signaturbasierte Erkennung besteht, sendet Defender die Metadaten der verdächtigen Datei an das Cloud-Backend. Beachten Sie, dass die Cloud nicht immer die gesamte Datei anfordert.

Die Computer im Cloud-Backend analysieren die Metadaten und verwenden die verschiedenen Logik-, URL-Reputations- und Telemetriedaten, um festzustellen, ob es sich bei der Datei um Malware handelt.

Wenn beispielsweise der Dateiname der Malware mit dem Namen eines Windows-Kernmoduls übereinstimmt, überprüft das Cloud-Backend die digitale Signatur des Moduls. Wenn es nicht signiert oder nicht von Microsoft signiert ist und es sich bei der „Klassifizierung“ um Malware handelt (mit einem Vertrauensniveau von 85%), stellt die Cloud fest, dass es sich bei der Datei um Malware handelt.

Die Bewertungen „Klassifizierung“ und „Vertrauen“, die den wichtigsten Teil der Backend-Analyse darstellen, werden über das Modell des maschinellen Lernens ermittelt.

Falls das Cloud-Backend kein Urteil gefällt, fordert es die gesamte Datei für eine detaillierte Analyse an. Bis die Datei hochgeladen wird und die Cloud den Empfang derselben bestätigt, sperrt Windows Defender die Datei und lässt die Ausführung auf dem Client nicht zu. Dies ist eine wichtige Änderung, die das Windows Defender-Team im Windows 10 Anniversary Update (v1607) vorgenommen hat.

Zuvor durfte die verdächtige Datei synchron ausgeführt werden, während der Upload ausgeführt wurde. Noch bevor der Upload abgeschlossen war, wäre die Malware vollständig ausgeführt worden und hätte sich selbst zerstört.

Bei der Demo des Windows Defender Engineering-Teams wurden zwei Szenarien erörtert. In Szenario 1 klassifiziert das Cloud-Backend eine Datei nur anhand der Metadaten als Malware. Gerät Nr. 1 mit deaktiviertem Cloud-Schutz wird beim Ausführen der Datei infiziert. Und Gerät Nr. 2 mit aktiviertem Cloud-Schutz ist sofort geschützt.

In Szenario 2 führt der erste Benutzer eine unbekannte Malware aus. Die Cloud kam aufgrund der Metadaten zu keinem Urteil, sodass die gesamte Datei automatisch übermittelt wurde.

Die Übermittlungszeit war um 19:48:59 Uhr - das Backend schloss die automatisierte Analyse um 19:49:01 Uhr ab (~ 2 Sekunden ab dem Zeitpunkt, an dem der Upload das Cloud-Backend erreichte) und stellte fest, dass es sich bei der Datei um Malware handelt.

Von dem Moment an würde Windows Defender zukünftige Begegnungen mit dieser Datei blockieren und so Millionen anderer Geräte schützen, auf denen der Cloud-basierte Windows Defender-Schutz aktiviert ist.

Microsoft hat auch eine Testseite mit dem Namen Windows Defender Testground, auf der Sie die Wirksamkeit des Cloud-Schutzes von Defender durch Hochladen von Beispielen überprüfen können.

Obwohl die zweite Demo aufgrund einiger Konnektivitätsprobleme mit der Cloud nicht erfolgreich war, ist sie insgesamt eine nützliche Präsentation, die die Bedeutung der Cloud-basierten Schutzfunktion „Auf den ersten Blick blockieren“ von Windows Defender erklärt. Wenn Sie die Funktion deaktiviert haben, haben Sie jetzt wohl einen zweiten Gedanken.

Referenzen & Credits

Aktivieren Sie die Funktion Auf den ersten Blick blockieren, um Malware innerhalb von Sekunden zu erkennen

Entdecken Sie Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanal 9

Ähnlicher Artikel