Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część VI

Windows Defender, mimo swojego postępującego rozbudowania (funkcjonalnego i nazewniczego), w dalszym ciągu jest przede wszystkim antywirusem. Przynajmniej w teorii więc, główną jego rolą powinno być wykrywanie binarnych zagrożeń. Ta jednak jego funkcja zawiera najmniej przełączników w panelu konfiguracji programu. Choć intuicja podpowiada, że najważniejsza funkcja powinna być najszerzej konfigurowalna, praktyka pokazuje, że to zły pomysł. Z perspektywy ochrony przed infekcją, antywirus jest bowiem "albo skuteczny albo nie".

Defender: antywirus Windowsa (fot. Reimund Bertrams, Pixabay)
Defender: antywirus Windowsa (fot. Reimund Bertrams, Pixabay)
Kamil J. Dudek

23.11.2020 07:29

Ten truizm oznacza, że sprawny antywirus nie powinien mieć "ustawień", ponieważ jego rolą jest blokować zagrożenia. Wszystkie. Istotnie dlatego nie jest możliwe aplikowanie ustawień skanera, bo nie mają one sensu. Jest jednak pewien wyjątek od niniejszej, holistycznej metodyki. Mowa o sytuacji, w której Defender musi improwizować, a więc gdy nie ma pewności w kwestii klasyfikacji zagrożenia. Sytuacje takie mają miejsce, gdy podejrzany program nie trafia w żadną znaną definicję statyczą lub behawioralną, a skan heurystyczny wykazuje jedynie poszlaki, a nie dowody. W takich chwilach Defender może "poprosić o pomoc" chmurę, a poziom, w którym będzie on ufał wstępnym wynikom chmurowym można regulować.

Gdy heurystyka to za mało

Gdy wirus jest opisany w definicjach, sprawa jest jasna: Defender go wykrywa, a następnie blokuje. Nie ma tu co konfigurować, można najwyżej wyłączyć skaner. W przypadku detekcji heurystycznych, prawdopodobieństwo fałszywie pozytywnego wyniku jest bardzo wysokie i może negatywnie wpływać na pracę. Nie jest możliwe bardziej szczegółowe skanowanie pliku po stronie klienta, bo efektem byłaby degradacja wydajności. Konieczne jest wysłanie pliku w chmurę i przeskanowanie go w środowisku wirtualnym. Skan ten musi być odpowiednio szybki (klient nie może czekać aż chmura sobie przeprowadzi skan!), więc także nie jest w pełni wiarygodny. Dostarcza on więcej informacji niż lokalna heurystyka, ale wciąż nie dość, by nabrać pewności co do bezpieczeństwa skanowanego pliku.

(fot. Kamil Dudek)
(fot. Kamil Dudek)

Dlatego chmurowa ochrona i automatyczne przesyłanie próbek są domyślnie wyłączone. Wspomagają one lokalną heurystykę, ale stanowią bardzo duży okład czasowy i obliczeniowy, w stosunku do miernych korzyści doraźnie dostarczanych klientowi. Niewątpliwie pomagają w szybszym przygotowywaniu definicji, więc partycypując w programie ochrony chmurowej (pisaliśmy, jak ją włączyć), sprzyjamy wytworzeniu "odporności stadnej" na nowe wirusy.

Opcje ochrony chmurowej

Odpowiedź zwrotna z chmury jest obarczona, jak już wspomnieliśmy, ryzykiem błędu. Mniejszym niż lokalna heurystyka, ale niepomijalnym. W konsekwencji, Microsoft istotnie wprowadził opcję do samodzielniej konfiguracji czułości chmurowej, ale ukrył ją w interfejsie użytkownika. Możemy sięgnąć po nią samodzielnie, za pomocą PowerShella lub Edytora Obiektów Zasad Grupy, ale zanim to zrobimy, należy koniecznie wspomnieć o tym, jakie są tego potencjalne konsekwencje.

Oto, jak Microsoft opisuje pięć dostępnych poziomów ochrony chmurowej:

Domyślny poziom blokowania Programu antywirusowego Microsoft Defender. Średni poziom blokowania Programu antywirusowego Microsoft Defender, w którym werdykt jest dostarczany tylko w przypadku dużej pewności wykrycia infekcji. Wysoki poziom blokowania — agresywne blokowanie nieznanych plików przy jednoczesnej optymalizacji wydajności klienta (większa szansa fałszywych trafień). Bardzo wysoki poziom blokowania — agresywne blokowanie nieznanych plików i stosowanie dodatkowych środków ochrony (możliwy wpływ na wydajność klienta). Poziom blokowania „Zero tolerancji” — blokowanie wszystkich nieznanych plików wykonywalnych.[img=Zrzutekranu(29)]Po włączeniu w ustawieniach Defendera przełącznika "Ochrona dostarczana z chmury", program serwuje pierwszy, domyślny poziom ochrony. Polega ona na "outsource'owaniu" badań heurystycznych z klienta w chmurę, co pozwala zmniejszyć obciążenie maszyny i pomóc twórcom w opracowywaniu nowych definicji. Ustawienie poziomu średniego sprawia, że przeprowadzana jest identyczna analiza, ale wystarczy mniej poszlak, by plik został uznany za podejrzany. Poziom wysoki całkowicie porzuca lokalną heurystykę podejrzanych plików, wykorzystując chmurę Microsoftu do przeprowadzenia kompletnej, bardziej szczegółowej analizy. Jest ona jednak przeprowadzana na tyle szybko, że łatwo o błędne detekcje.

Najwyższa ochrona

Wyższe poziomy są jeszcze ciekawsze. "Bardzo wysoki poziom blokowania", zwany w angielskiej wersji High+, stosuje jednocześnie heurystykę lokalną i chmurową, a także wirutalizację i sztuczną inteligencję, co zmniejsza ryzyko fałszywych alarmów, ale wiąże się ze spadkiem wydajności stacji klienckiej. Komputer stosuje bowiem bardziej zaawansowane (i wymagające energetycznie) algorytmy, a przy okazji czeka na odpowiedź chmury, która dokonuje agresywnego, dogłębnego skanu, na którego wyniki trzeba dłużej czekać. Podczas owego oczekiwania, plik jest zablokowany i nie można go używać.

(fot. Kamil Dudek)
(fot. Kamil Dudek)

Gdyby wszyscy użytkownicy stosowali tryb High+, Defender znacznie szybciej zapewniałby ochronę przed najnowszymi zagrożeniami, choć użytkownicy mogliby odczuć gorszą płynność pracy lub otrzymać nieco więcej nieuzasadnionych ostrzeżeń. Natomiast gdyby wszyscy zastosowali tryb "Zero tolerancji", Defender stałby się bezużyteczny. Zezwalałby bowiem tylko na uruchamianie plików, które ktoś inny już przeskanował i bezpiecznie uruchomił. W efekcie, wszystkie Defendery czekałyby na siebie nawzajem, blokując każdy nowy plik. Najlepszą ochronę dostarcza zatem tryb High+.

Block At First Sight

Odblokowanie wspomagania chmurowego, automatycznego przesyłania próbek, skanowania załączników i rozszerzonej ochrony w chmurze jednocześnie, umożliwia uruchomienie dodatkowej, najsilniejszej postaci ochrony Defendera, w postaci funkcji "Blokowanie przy pierwszym napotkaniu". W przypadku podejrzanych plików, Defender otrzymuje okno czasowe 50 sekund na przesłanie i uruchomienie go w chmurze Microsoftu i zebranie wyników ze środowiska wirtualnego z podłączonymi debuggerami i analizatorami. W środowiskach otrzymujących pokaźne ilości plików z niezaufanych źródeł, niniejsza funkcja może być zbawienna.

Aby uruchomić maksymalny tryb ochrony chmurowej, należy wprowadzić następujące ustawienia:

[code=powershell]# Zaciąg do chmury Set-MpPreference -MAPSReporting 2# Automatyczne wysyłanie próbekSet-MpPreference -SubmitSamplesConsent 3# Skanowanie pobieranych plikówSet-MpPreference -DisableIOAVProtection 0# Pozwolenie dla blokowanie plików przez chmuręSet-MpPreference -CloudExtendedTimeout 50# Wysoki+ poziom ochrony chmurowejSet-MpPreference -CloudBlockLevel 4# Włączenie blokowania przy pierwszym napotkaniuSet-MpPreference -DisableBlockAtFirstSeen 0# Poznać swój unikatowy numer komputera w chmurze# (warto mieć świadomość, że to działa w taki sposób)Get-MpPreference | Select-Object -ExpandProperty ComputerID[/code]

W kolejnej części zajmiemy się mechanizmem redukcji powierzchni ataków. Wchodzimy w ten sposób w te obszary Defendera, które ewidentnie nie zostały jeszcze w pełni ukończone.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (19)