Microsoft: Облачная защита Windows 10 анализирует и блокирует неизвестные угрозы за 10 секунд

Защитник Windows претерпел серьезные изменения в последних версиях Windows 10. Хотя сторонние вендоры пытаются различными способами указать на слабость системного антивируса, в Microsoft находят все новые поводы для демонстрации преимуществ собственной антивирусной технологии. На этот раз Редмонд опубликовал детальный анализ, который демонстрирует, как происходит блокировка неизвестных вредоносных программ.

Microsoft заявляет, что Windows 10 требуется до 10 секунд для анализа и блокировки файлов, которые могут представлять собой неизвестные виды вредоносного ПО. Облачная технология защиты помогает защитить не только пользователя, который отправил образец на детальное исследование, но и других пользователей Защитника Windows.

Технологический гигант подчеркивает, что облачные методы обнаружения позволяют Защитнику Windows очень быстро и эффективно реагировать на неизвестные вредоносные программы и во время анализа предотвращать возможные вредоносные сценарии на целевых системах.

10-секундный анализ

Как показано на инфографике, когда обнаруживаются подозрительные файлы, они могут быть отправлены на облачный анализ для детальной проверки. Если файл окажется неизвестным, образец будет запрошен для дальнейшего, более глубокого анализа. Клиент, хранящий файл, автоматически загружает этот образец, а облачные системы Microsoft обрабатывают его и проверяют классификаторы машинного обучения.

Затем облако генерирует сигнатуру и отправляет ее клиенту, при этом система Windows 10 блокирует файл и сообщает об этом в облаке, чтобы защитить всех остальных пользователей.

Весь процесс занимает не более 10 секунд, а полная защита предоставляется после включения функций «Облачная защита» и «Автоматическая отправка образцов» в меню «Параметры защиты от вирусов и других угроз» приложения Центр безопасности Защитника Windows.

Когда эти параметры включены, Защитник Windows по умолчанию блокирует подозрительный файл в течение 10 секунд, в это время как отправляет запрос в службу облачной защиты. Администраторы могут настроить Защитник Windows таким образом, чтобы продлить период таймаута до одной минуты, чтобы дать время выполнить более глубокий анализ и применить дополнительные методы для обнаружения новых вредоносных программ.

Данные функции безопасности доступны только в Windows 10 Creators Update. Еще больше улучшений ожидается в сентябре с выходом Fall Creators Update.

Как отключить отправку образцов в Microsoft защитником в Windows 10?

Отправка подозрительных файлов на анализ — это нормально, и так делают многие серьезные антивирусные компании. И теперь и встроенный защитник Windows 10 тоже отправляет образцы.

Что именно защитник отправляет и вообще зачем это? Ну, сами образцы это просто файлы или часть файла, обычно файл целиком. Тот файл, который защитник подозревает в «опасном поведении» он отправляет в лабораторию Microsoft, а там уже его сканируют на наличие зловредного кода.

В лаборатории анализируют поведение программы или содержание файла, если программа действительно может принести вред компьютеру или файл является частью работы вируса, то все эти отправленные файлы заносятся в базу опасных, и потом всегда защитник уже знает что это за файлы. То есть если один компьютер отправил такие образцы, и они реально опасны, то об этом узнают все «защитники», которые работают в Windows 10 других пользователей (при условии что сам защитник обновляется).

Ну что, немного поняли что это такое, уверены что нужно отключать? Тогда открываем окно Параметры в меню Пуск:

Теперь найдите пункт Обновление и безопасность:

Потом перейдите в раздел Защитник Windows, там будет нужный ползунок, его и нужно передвинуть для отключения отправки:

Также советую отключить эту отправку при медленном интернете, так как сам процесс может затянуться, во время которого «сидеть» в интернете вообще будет невозможно так как все будет медленно открываться. Если у вас интернет платный, то тем более отключайте.

Рубрика: Все про Windows / Метки: / 1 Декабрь 2015 / Подробнее

Как работают «Автоматическая отправка образцов» и «Облачная защита» Защитника Windows?

Встроенный в Windows 10 антивирус Windows Defender обладает некоторыми «облачными» функциями, как и другие современные антивирусные приложения. По умолчанию Windows автоматически загружает некоторые подозрительно выглядящие файлы и сообщает данные о подозрительной активности, чтобы новые угрозы могли быть обнаружены и заблокированы как можно быстрее.

Эти функции являются частью Защитника Windows, антивирусного инструмента, включенного в Windows 10. Защитник Windows всегда работает, если для его замены не установлен сторонний антивирусный инструмент.

Эти две функции включены по умолчанию. Вы можете узнать, включены ли они в данный момент, запустив Центр безопасности Защитника Windows. Найти его можно, выполнив поиск «Защитник Windows» в меню «Пуск» или выбрав «Центр безопасности Защитника Windows» в списке приложений. Перейдите к разделу Защита от вирусов и угроз> Параметры защиты от вирусов и угроз.

При желании здесь можно отключить как облачную защиту, так и автоматическую отправку образцов. Однако мы рекомендуем оставить эти функции включенными. Вот что они делают.

Облачная защита

Функция облачной защиты «обеспечивает улучшенную и более быструю защиту благодаря доступу к последним данным защиты антивируса Windows Defender в облаке», согласно интерфейсу Центра безопасности Защитника Windows.

Похоже, это новое имя для последней версии Microsoft Active Protection Service, также известной как MAPS. Ранее он был известен как Microsoft SpyNet.

Думайте об этом как о более продвинутой эвристической функции. Используя типичную антивирусную эвристику, антивирусное приложение отслеживает действия программ в вашей системе и решает, выглядят ли их действия подозрительными. Это решение принимается полностью на вашем ПК.

Благодаря функции облачной защиты Защитник Windows может отправлять информацию на серверы Microsoft («облако») при возникновении подозрительных событий. Вместо того, чтобы принимать решение исключительно на основе информации, доступной на вашем ПК, решение принимается на серверах Microsoft с доступом к самой последней информации о вредоносных программах, доступной за время исследований Microsoft, логике машинного обучения и большим объемам актуальных необработанных данных. ,

Серверы Microsoft отправляют почти мгновенный ответ, сообщая Защитнику Windows, что файл, вероятно, опасен и должен быть заблокирован, запрашивая образец файла для дальнейшего анализа или сообщая Защитнику Windows, что все в порядке и файл должен работать нормально.

По умолчанию Защитник Windows настроен на ожидание до 10 секунд, чтобы получить ответ от службы облачной защиты Microsoft. Если он не получил ответ в течение этого времени, он запустит подозрительный файл. Предполагая, что ваше интернет-соединение в порядке, этого должно быть более чем достаточно. Облачный сервис часто должен отвечать менее чем за секунду.

Автоматическая подача образца

Интерфейс Защитника Windows отмечает, что облачная защита лучше всего работает при включенной автоматической отправке образцов. Это связано с тем, что облачная защита может запросить образец файла, если файл кажется подозрительным, и Защитник Windows автоматически загрузит его на серверы Microsoft, если этот параметр включен.

Эта функция не просто загружает файлы из вашей системы на серверы Microsoft. Он будет загружать только .exe и другие программные файлы. Он не будет загружать ваши личные документы и другие файлы, которые могут содержать личные данные. Если файл может содержать личные данные, но кажется подозрительным – например, документ Word или электронная таблица Excel, которая, как представляется, содержит потенциально опасный макрос, – вам будет предложено отправить его в Microsoft.

Когда файл загружается на серверы Microsoft, служба быстро анализирует файл и его поведение, чтобы определить, является ли он опасным или нет. Если файл окажется опасным, он будет заблокирован в вашей системе. В следующий раз, когда Защитник Windows обнаружит этот файл на компьютере другого человека, он может быть заблокирован без необходимости дополнительного анализа. Защитник Windows узнает, что файл опасен, и блокирует его для всех.

Здесь также есть ссылка «Отправить образец вручную», которая ведет на страницу «Отправить файл для анализа вредоносного ПО» на веб-сайте Microsoft. Вы можете вручную загрузить подозрительный файл здесь. Однако с настройками по умолчанию Защитник Windows автоматически загружает потенциально опасные файлы, и их можно заблокировать практически сразу. Вы даже не будете знать, что файл был загружен – если он опасен, он будет заблокирован в течение нескольких секунд.

Почему вы должны оставить эти функции включенными

Мы рекомендуем оставить эти функции включенными, чтобы помочь защитить ваш компьютер от вредоносных программ. Вредоносные программы могут появляться и распространяться очень быстро, и ваш антивирус может загружать файлы определений вирусов недостаточно часто, чтобы остановить его. Эти типы функций помогают вашему антивирусу намного быстрее реагировать на новые эпидемии вредоносных программ и блокировать ранее неизвестные вредоносные программы, которые в противном случае могли бы пробиться сквозь трещины.

Microsoft недавно опубликовала сообщение в блоге, в котором подробно описан реальный пример, когда пользователь Windows загрузил новый файл вредоносного ПО. Защитник Windows определил, что файл является подозрительным, и запросил дополнительную информацию у облачной службы защиты. В течение 8 секунд служба получила загруженный образец файла, проанализировала его на наличие вредоносного ПО, создала определение антивируса и сказала Защитнику Windows удалить его с ПК. Этот файл затем блокировался на других компьютерах с Windows каждый раз, когда они сталкивались с ним, благодаря недавно созданному определению вируса.

Вот почему вы должны оставить эту функцию включенной. В отличие от облачной службы защиты, Защитник Windows, возможно, не располагал достаточной информацией, и ему пришлось бы принимать решение самостоятельно, что потенциально позволяло запускать опасный файл. Благодаря облачной службе защиты файл был помечен как вредоносное ПО, и все компьютеры, защищенные Защитником Windows, который обнаружил его в будущем, знали, что файл опасен.

Включить облачную защиту Turn on cloud-delivered protection

Область применения: Applies to:

Облачная служба антивирусной защиты Microsoft Defender — это механизм доставки обновленной защиты в сеть и конечные точки. The Microsoft Defender Antivirus cloud service is a mechanism for delivering updated protection to your network and endpoints. Хотя это называется облачной службой, это не просто защита файлов, хранимых в облаке; вместо этого он использует распределенные ресурсы и машинное обучение для обеспечения защиты конечных точек со скоростью, значительно более быстрой, чем традиционные обновления службы безопасности. Although it is called a cloud service, it is not simply protection for files stored in the cloud; rather, it uses distributed resources and machine learning to deliver protection to your endpoints at a rate that is far faster than traditional Security intelligence updates.

Антивирус Microsoft Defender использует несколько технологий обнаружения и предотвращения для обеспечения точной и интеллектуальной защиты в режиме реального времени. Microsoft Defender Antivirus uses multiple detection and prevention technologies to deliver accurate, real-time, and intelligent protection. Узнать о передовых технологиях в центре защиты Microsoft Defender для endpoint следующего поколения. Get to know the advanced technologies at the core of Microsoft Defender for Endpoint next-generation protection.

Можно включить или отключить облачную защиту антивирусного антивируса Microsoft Defender несколькими способами: You can turn Microsoft Defender Antivirus cloud-delivered protection on or off in several ways:

• Microsoft Intune Microsoft Intune
• Microsoft Endpoint Configuration Manager Microsoft Endpoint Configuration Manager
• Групповая политика Group Policy
• Cmdlets PowerShell. PowerShell cmdlets.

Вы также можете включить его или отключить в отдельных клиентах с помощью приложения Windows Security. You can also turn it on or off in individual clients with the Windows Security app.

См. в обзоре облачной защиты антивирусной защиты Microsoft Defender. See Use Microsoft cloud-delivered protection for an overview of Microsoft Defender Antivirus cloud-delivered protection.

Дополнительные сведения о конкретных требованиях к сетевому подключению, чтобы конечные точки могли подключаться к службе защиты с облачной доставкой, см. в статью Настройка и проверка сетевых подключений. For more information about the specific network-connectivity requirements to ensure your endpoints can connect to the cloud-delivered protection service, see Configure and validate network connections.

В Windows 10 нет разницы между основными и расширенными вариантами отчетности, описанными в этом разделе. In Windows 10, there is no difference between the Basic and Advanced reporting options described in this topic. Это устаревшее различие, и выбор любого параметра приведет к такому же уровню облачной защиты. This is a legacy distinction and choosing either setting will result in the same level of cloud-delivered protection. Нет разницы в типе или количестве общих сведений. There is no difference in the type or amount of information that is shared. Дополнительные сведения о том, что мы собираем, см. в заявлении о конфиденциальности Майкрософт. For more information on what we collect, see the Microsoft Privacy Statement.

Использование Intune для включаемой облачной защиты Use Intune to turn on cloud-delivered protection

1. Перейдите в центр администрирования диспетчера конечных точек Майкрософт () и https://endpoint.microsoft.com войдите в систему. Go to the Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) and log in.
2. На домашней области выберите конфигурацию устройства > профилей. On the Home pane, select Device configuration > Profiles.
3. Выберите тип профиля ограничений устройства, который необходимо настроить. Select the Device restrictions profile type you want to configure. Если требуется создать новый тип профилей ограничений устройств, см. в странице Настройка параметров ограничения устройств в Microsoft Intune. If you need to create a new Device restrictions profile type, see Configure device restriction settings in Microsoft Intune.
4. Выберите параметры >конфигурации свойств: изменить антивирус Microsoft >Defender. Select Properties >Configuration settings: Edit >Microsoft Defender Antivirus.
5. В облачном коммутаторе защиты выберите Включить. On the Cloud-delivered protection switch, select Enable.
6. В запросе пользователей перед отсевом образца отправки выберите отправить все данные автоматически. In the Prompt users before sample submission dropdown, select Send all data automatically.

Дополнительные сведения о профилях устройств Intune, в том числе о создании и настройке параметров, см. в странице What are Microsoft Intune device profiles? For more information about Intune device profiles, including how to create and configure their settings, see What are Microsoft Intune device profiles?

Используйте Microsoft Endpoint Manager, чтобы включить облачную защиту Use Microsoft Endpoint Manager to turn on cloud-delivered protection

1. Перейдите в центр администрирования диспетчера конечных точек Майкрософт () и https://endpoint.microsoft.com войдите в систему. Go to the Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) and log in.
2. Выберите антивирус безопасности >конечных точек. Choose Endpoint security >Antivirus.
3. Выберите антивирусный профиль. Select an antivirus profile. (Если у вас еще нет его или вы хотите создать новый профиль, см. параметры ограничения устройств в Microsoft Intune. (If you don’t have one yet, or if you want to create a new profile, see Configure device restriction settings in Microsoft Intune.
4. Выбор свойств. Select Properties. Затем, рядом с настройками конфигурации, выберите Изменить. Then, next to Configuration settings, choose Edit.
5. Расширив защиту облака, а затем в списке уровней защиты с доставкой в облаке выберите один из следующих: Expand Cloud protection, and then in the Cloud-delivered protection level list, select one of the following:
   1. High: применяет высокий уровень обнаружения. High: Applies a strong level of detection.
   2. Высокий плюс: использует высокий уровень и применяет дополнительные меры защиты (может повлиять на производительность клиента). High plus: Uses the High level and applies additional protection measures (may impact client performance).
   3. Нулевая толерантность. Блокирует все неизвестные исполняемые. Zero tolerance: Blocks all unknown executables.
6. Выберите Обзор + сохранить, а затем сохранить . Select Review + save, then choose Save.

Дополнительные сведения о настройке Microsoft Endpoint Configuration Manager см. в дополнительных сведениях о создании и развертывании политик противомалярийных программ: служба облачной защиты. For more information about configuring Microsoft Endpoint Configuration Manager, see How to create and deploy antimalware policies: Cloud-protection service.

Использование групповой политики для включаемой облачной защиты Use Group Policy to turn on cloud-delivered protection

На устройстве управления групповой политикой откройте консоль управления групповой политикой правойкнопкой мыши объект групповой политики, который необходимо настроить, и выберите Изменить. On your Group Policy management device, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.

В редакторе управления групповой политикой перейдите к конфигурации компьютера. In the Group Policy Management Editor, go to Computer configuration.

Выберите административные шаблоны. Select Administrative templates.

Расширь дерево до компонентов Windows и > Microsoft Defender > MAPS Expand the tree to Windows components > Microsoft Defender Antivirus > MAPS

Дважды щелкните Присоединиться к Microsoft MAPS. Double-click Join Microsoft MAPS. Убедитесь, что параметр включен и задарен базовым картам или расширенным КАРТАм. Ensure the option is turned on and set to Basic MAPS or Advanced MAPS. Нажмите кнопку ОК. Select OK.

Дважды щелкните Отправить образцы файлов при необходимости дополнительного анализа. Double-click Send file samples when further analysis is required. Убедитесь, что для первого параметра установлен параметр Включен, а остальные параметры заме- Ensure that the first option is set to Enabled and that the other options are set to either:

Отправка безопасных образцов (1) Send safe samples (1)

Отправка всех образцов (3) Send all samples (3)

Параметр Отправка безопасных образцов (1) означает, что большинство образцов будут отправлены автоматически. The Send safe samples (1) option means that most samples will be sent automatically. Файлы, в которых могут содержаться персональные данные, будут по-прежнему подсказок и требуют дополнительного подтверждения. Files that are likely to contain personal information will still prompt and require additional confirmation.

Настройка параметра Always Prompt (0) снижает состояние защиты устройства. Setting the option to Always Prompt (0) will lower the protection state of the device. Настройка функции Никогда не отправлять (2) означает, что функция Block at First Sight Microsoft Defender для конечной точки не будет работать. Setting it to Never send (2) means that the Block at First Sight feature of Microsoft Defender for Endpoint won’t work.

Нажмите кнопку ОК. Select OK.

Чтобы включить облачную защиту, используйте cmdlets PowerShell Use PowerShell cmdlets to turn on cloud-delivered protection

Следующие cmdlets могут включить облачную защиту: The following cmdlets can turn on cloud-delivered protection:

Дополнительные сведения о том, как использовать PowerShell с антивирусной программой Microsoft Defender, см. в см. в рублях Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets. For more information on how to use PowerShell with Microsoft Defender Antivirus, see Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets. Политика CSP — Defender также имеет больше сведений конкретно о -SubmitSamplesConsent. Policy CSP — Defender also has more information specifically on -SubmitSamplesConsent.

Вы также можете установить -SubmitSamplesConsent SendSafeSamples (параметр по умолчанию), NeverSend или AlwaysPrompt . You can also set -SubmitSamplesConsent to SendSafeSamples (the default setting), NeverSend , or AlwaysPrompt . Параметр SendSafeSamples означает, что большинство образцов будут отправлены автоматически. The SendSafeSamples setting means that most samples will be sent automatically. Файлы, в которых могут содержаться персональные данные, будут по-прежнему подсказок и требуют дополнительного подтверждения. Files that are likely to contain personal information will still prompt and require additional confirmation.

Параметр -SubmitSamplesConsent или понизит уровень NeverSend защиты AlwaysPrompt устройства. Setting -SubmitSamplesConsent to NeverSend or AlwaysPrompt will lower the protection level of the device. Кроме того, настройка этого параметра означает, что функция Block at First Sight Microsoft Defender для конечной точки не NeverSend будет работать. In addition, setting it to NeverSend means that the Block at First Sight feature of Microsoft Defender for Endpoint won’t work.

Используйте инструкцию по управлению Windows (WMI), чтобы включить облачную защиту Use Windows Management Instruction (WMI) to turn on cloud-delivered protection

Дополнительные сведения о разрешенных параметрах см. в Защитник Windows API WMIv2 For more information about allowed parameters, see Windows Defender WMIv2 APIs

Включив облачную защиту для отдельных клиентов с помощью приложения Windows Security Turn on cloud-delivered protection on individual clients with the Windows Security app

Если для настройки локального параметра переопределения для отчетов о параметре групповой политики Microsoft MAPS задан параметр Отключен, параметр облачной защиты в параметрах Windows будет серым и недоступным. If the Configure local setting override for reporting Microsoft MAPS Group Policy setting is set to Disabled, then the Cloud-based protection setting in Windows Settings will be greyed-out and unavailable. Изменения, внесенные с помощью объекта групповой политики, сначала должны быть развернуты в отдельных конечных точках, прежде чем параметр будет обновлен в параметрах Windows. Changes made through a Group Policy Object must first be deployed to individual endpoints before the setting will be updated in Windows Settings.

Откройте приложение Windows Security, выбрав значок щита в панели задач или нажав меню пусков для Defender. Open the Windows Security app by selecting the shield icon in the task bar, or by searching the start menu for Defender.

Выберите плитку защиты & вирусов (или значок щита в левой панели меню), а затем метку параметров защиты & вирусов: Select the Virus & threat protection tile (or the shield icon on the left menu bar) and then the Virus & threat protection settings label:

Подтвердим, что облачные средства защиты и автоматическая отправка образцов переключаются на On. Confirm that Cloud-based Protection and Automatic sample submission are switched to On.

Если автоматическая отправка образца настроена с помощью групповой политики, параметр будет серым и недоступным. If automatic sample submission has been configured with Group Policy then the setting will be greyed-out and unavailable.