Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część VI

Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część VI23.11.2020 07:29
Defender: antywirus Windowsa (fot. Reimund Bertrams, Pixabay)

Windows Defender, mimo swojego postępującego rozbudowania (funkcjonalnego i nazewniczego), w dalszym ciągu jest przede wszystkim antywirusem. Przynajmniej w teorii więc, główną jego rolą powinno być wykrywanie binarnych zagrożeń. Ta jednak jego funkcja zawiera najmniej przełączników w panelu konfiguracji programu. Choć intuicja podpowiada, że najważniejsza funkcja powinna być najszerzej konfigurowalna, praktyka pokazuje, że to zły pomysł. Z perspektywy ochrony przed infekcją, antywirus jest bowiem "albo skuteczny albo nie".

Ten truizm oznacza, że sprawny antywirus nie powinien mieć "ustawień", ponieważ jego rolą jest blokować zagrożenia. Wszystkie. Istotnie dlatego nie jest możliwe aplikowanie ustawień skanera, bo nie mają one sensu. Jest jednak pewien wyjątek od niniejszej, holistycznej metodyki. Mowa o sytuacji, w której Defender musi improwizować, a więc gdy nie ma pewności w kwestii klasyfikacji zagrożenia. Sytuacje takie mają miejsce, gdy podejrzany program nie trafia w żadną znaną definicję statyczą lub behawioralną, a skan heurystyczny wykazuje jedynie poszlaki, a nie dowody. W takich chwilach Defender może "poprosić o pomoc" chmurę, a poziom, w którym będzie on ufał wstępnym wynikom chmurowym można regulować.

Gdy heurystyka to za mało

Gdy wirus jest opisany w definicjach, sprawa jest jasna: Defender go wykrywa, a następnie blokuje. Nie ma tu co konfigurować, można najwyżej wyłączyć skaner. W przypadku detekcji heurystycznych, prawdopodobieństwo fałszywie pozytywnego wyniku jest bardzo wysokie i może negatywnie wpływać na pracę. Nie jest możliwe bardziej szczegółowe skanowanie pliku po stronie klienta, bo efektem byłaby degradacja wydajności. Konieczne jest wysłanie pliku w chmurę i przeskanowanie go w środowisku wirtualnym. Skan ten musi być odpowiednio szybki (klient nie może czekać aż chmura sobie przeprowadzi skan!), więc także nie jest w pełni wiarygodny. Dostarcza on więcej informacji niż lokalna heurystyka, ale wciąż nie dość, by nabrać pewności co do bezpieczeństwa skanowanego pliku.

(fot. Kamil Dudek)
(fot. Kamil Dudek)

Dlatego chmurowa ochrona i automatyczne przesyłanie próbek są domyślnie wyłączone. Wspomagają one lokalną heurystykę, ale stanowią bardzo duży okład czasowy i obliczeniowy, w stosunku do miernych korzyści doraźnie dostarczanych klientowi. Niewątpliwie pomagają w szybszym przygotowywaniu definicji, więc partycypując w programie ochrony chmurowej (pisaliśmy, jak ją włączyć), sprzyjamy wytworzeniu "odporności stadnej" na nowe wirusy.

Opcje ochrony chmurowej

Odpowiedź zwrotna z chmury jest obarczona, jak już wspomnieliśmy, ryzykiem błędu. Mniejszym niż lokalna heurystyka, ale niepomijalnym. W konsekwencji, Microsoft istotnie wprowadził opcję do samodzielniej konfiguracji czułości chmurowej, ale ukrył ją w interfejsie użytkownika. Możemy sięgnąć po nią samodzielnie, za pomocą PowerShella lub Edytora Obiektów Zasad Grupy, ale zanim to zrobimy, należy koniecznie wspomnieć o tym, jakie są tego potencjalne konsekwencje.

Oto, jak Microsoft opisuje pięć dostępnych poziomów ochrony chmurowej:

Domyślny poziom blokowania Programu antywirusowego Microsoft Defender. Średni poziom blokowania Programu antywirusowego Microsoft Defender, w którym werdykt jest dostarczany tylko w przypadku dużej pewności wykrycia infekcji. Wysoki poziom blokowania — agresywne blokowanie nieznanych plików przy jednoczesnej optymalizacji wydajności klienta (większa szansa fałszywych trafień). Bardzo wysoki poziom blokowania — agresywne blokowanie nieznanych plików i stosowanie dodatkowych środków ochrony (możliwy wpływ na wydajność klienta). Poziom blokowania „Zero tolerancji” — blokowanie wszystkich nieznanych plików wykonywalnych.[img=Zrzutekranu(29)]Po włączeniu w ustawieniach Defendera przełącznika "Ochrona dostarczana z chmury", program serwuje pierwszy, domyślny poziom ochrony. Polega ona na "outsource'owaniu" badań heurystycznych z klienta w chmurę, co pozwala zmniejszyć obciążenie maszyny i pomóc twórcom w opracowywaniu nowych definicji. Ustawienie poziomu średniego sprawia, że przeprowadzana jest identyczna analiza, ale wystarczy mniej poszlak, by plik został uznany za podejrzany. Poziom wysoki całkowicie porzuca lokalną heurystykę podejrzanych plików, wykorzystując chmurę Microsoftu do przeprowadzenia kompletnej, bardziej szczegółowej analizy. Jest ona jednak przeprowadzana na tyle szybko, że łatwo o błędne detekcje.

Najwyższa ochrona

Wyższe poziomy są jeszcze ciekawsze. "Bardzo wysoki poziom blokowania", zwany w angielskiej wersji High+, stosuje jednocześnie heurystykę lokalną i chmurową, a także wirutalizację i sztuczną inteligencję, co zmniejsza ryzyko fałszywych alarmów, ale wiąże się ze spadkiem wydajności stacji klienckiej. Komputer stosuje bowiem bardziej zaawansowane (i wymagające energetycznie) algorytmy, a przy okazji czeka na odpowiedź chmury, która dokonuje agresywnego, dogłębnego skanu, na którego wyniki trzeba dłużej czekać. Podczas owego oczekiwania, plik jest zablokowany i nie można go używać.

(fot. Kamil Dudek)
(fot. Kamil Dudek)

Gdyby wszyscy użytkownicy stosowali tryb High+, Defender znacznie szybciej zapewniałby ochronę przed najnowszymi zagrożeniami, choć użytkownicy mogliby odczuć gorszą płynność pracy lub otrzymać nieco więcej nieuzasadnionych ostrzeżeń. Natomiast gdyby wszyscy zastosowali tryb "Zero tolerancji", Defender stałby się bezużyteczny. Zezwalałby bowiem tylko na uruchamianie plików, które ktoś inny już przeskanował i bezpiecznie uruchomił. W efekcie, wszystkie Defendery czekałyby na siebie nawzajem, blokując każdy nowy plik. Najlepszą ochronę dostarcza zatem tryb High+.

Block At First Sight

Odblokowanie wspomagania chmurowego, automatycznego przesyłania próbek, skanowania załączników i rozszerzonej ochrony w chmurze jednocześnie, umożliwia uruchomienie dodatkowej, najsilniejszej postaci ochrony Defendera, w postaci funkcji "Blokowanie przy pierwszym napotkaniu". W przypadku podejrzanych plików, Defender otrzymuje okno czasowe 50 sekund na przesłanie i uruchomienie go w chmurze Microsoftu i zebranie wyników ze środowiska wirtualnego z podłączonymi debuggerami i analizatorami. W środowiskach otrzymujących pokaźne ilości plików z niezaufanych źródeł, niniejsza funkcja może być zbawienna.

Aby uruchomić maksymalny tryb ochrony chmurowej, należy wprowadzić następujące ustawienia:

[code=powershell]# Zaciąg do chmury Set-MpPreference -MAPSReporting 2# Automatyczne wysyłanie próbekSet-MpPreference -SubmitSamplesConsent 3# Skanowanie pobieranych plikówSet-MpPreference -DisableIOAVProtection 0# Pozwolenie dla blokowanie plików przez chmuręSet-MpPreference -CloudExtendedTimeout 50# Wysoki+ poziom ochrony chmurowejSet-MpPreference -CloudBlockLevel 4# Włączenie blokowania przy pierwszym napotkaniuSet-MpPreference -DisableBlockAtFirstSeen 0# Poznać swój unikatowy numer komputera w chmurze# (warto mieć świadomość, że to działa w taki sposób)Get-MpPreference | Select-Object -ExpandProperty ComputerID[/code]

W kolejnej części zajmiemy się mechanizmem redukcji powierzchni ataków. Wchodzimy w ten sposób w te obszary Defendera, które ewidentnie nie zostały jeszcze w pełni ukończone.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na