Hoe werken Automatic Sample Submission en Cloud-based Protection van Windows Defender?
De geïntegreerde Windows Defender-antivirus van Windows 10 heeft enkele 'cloud'-functies, zoals andere moderne antivirusprogramma's. Standaard uploadt Windows automatisch sommige verdacht uitziende bestanden en rapporteert gegevens over verdachte activiteiten, zodat nieuwe bedreigingen zo snel mogelijk kunnen worden gedetecteerd en geblokkeerd.
Deze functies maken deel uit van Windows Defender, het antivirusprogramma dat wordt meegeleverd met Windows 10. Windows Defender is altijd actief, tenzij u een antivirusprogramma van derden hebt geïnstalleerd om het te vervangen.
Deze twee functies zijn standaard ingeschakeld. U kunt bekijken of ze momenteel zijn ingeschakeld door het Windows Defender Security Center te starten. U kunt het vinden door te zoeken naar "Windows Defender" in uw Start-menu of door "Windows Defender Security Center" te zoeken in de lijst met apps. Navigeer naar Virus- en gevarenbescherming> Instellingen voor bescherming van virussen en bedreigingen.
Zowel cloudgebaseerde beveiliging als automatische voorbeeldverzending kunnen hier worden uitgeschakeld, als u dat wilt. We raden u echter aan deze functies ingeschakeld te laten. Dit is wat ze doen.
Cloudgebaseerde beveiliging
De cloudgebaseerde beveiligingsfunctie "biedt verhoogde en snellere bescherming met toegang tot de nieuwste gegevens van Windows Defender Antivirusbescherming in de cloud", volgens de interface van het Windows Defender Security Center.
Dit lijkt een nieuwe naam te zijn voor de nieuwste versie van de Microsoft Active Protection Service, ook wel MAPS genoemd. Het was voorheen bekend als Microsoft SpyNet.
Zie dit als een meer geavanceerde heuristische functie. Met typische antivirus-heuristieken kijkt een antivirusprogramma naar programma's op uw systeem en bepaalt of hun acties verdacht lijken. Het maakt deze beslissing volledig op uw pc.
Met de cloudgebaseerde beveiligingsfunctie kan Windows Defender informatie verzenden naar de servers van Microsoft ("de cloud") wanneer er verdacht uitziende gebeurtenissen plaatsvinden. In plaats van de beslissing volledig te nemen met de informatie die beschikbaar is op uw pc, wordt de beslissing genomen op de servers van Microsoft met toegang tot de nieuwste malware-informatie die beschikbaar is uit Microsoft's onderzoekstijd, machineleerlogica en grote hoeveelheden actuele onbewerkte gegevens..
De servers van Microsoft verzenden een bijna onmiddellijk antwoord, vertellen Windows Defender dat het bestand waarschijnlijk gevaarlijk is en moeten worden geblokkeerd, een voorbeeld van het bestand opvragen voor verdere analyse, of Windows Defender vertellen dat alles in orde is en het bestand normaal moet worden uitgevoerd.
Standaard is Windows Defender ingesteld om maximaal 10 seconden te wachten om een antwoord te ontvangen van de cloudbeveiligingsservice van Microsoft. Als het binnen deze tijd niet meer heeft gehoord, laat het het verdachte bestand draaien. Ervan uitgaande dat uw internetverbinding goed is, zou dat meer dan genoeg tijd moeten zijn. De cloudservice moet vaak binnen een seconde reageren.
Automatische monsterinzending
De Windows Defender-interface merkt op dat cloudgebaseerde beveiliging het beste werkt als automatische voorbeeldverzending is ingeschakeld. Omdat cloudgebaseerde beveiliging om een voorbeeld van een bestand kan vragen, is het bestand verdacht en Windows Defender uploadt het automatisch naar de servers van Microsoft als u deze instelling hebt ingeschakeld.
Deze functie uploadt niet zomaar lukraak bestanden van uw systeem naar de servers van Microsoft. Het zal alleen .exe en andere programmabestanden uploaden. Het zal uw persoonlijke documenten en andere bestanden die persoonlijke gegevens kunnen bevatten, niet uploaden. Als een bestand persoonlijke gegevens kan bevatten, maar dit verdacht lijkt, bijvoorbeeld een Word-document of een Excel-spreadsheet dat een mogelijk gevaarlijke macro lijkt te bevatten, wordt u hierom gevraagd voordat deze naar Microsoft wordt verzonden.
Wanneer het bestand wordt geüpload naar de servers van Microsoft, analyseert de service snel het bestand en zijn gedrag om te bepalen of het gevaarlijk is of niet. Als een bestand gevaarlijk is, wordt het op uw systeem geblokkeerd. De volgende keer dat Windows Defender dat bestand op de pc van iemand anders tegenkomt, kan het worden geblokkeerd zonder dat extra analyse nodig is. Windows Defender leert dat het bestand gevaarlijk is en blokkeert het voor iedereen.
Er is ook een link "Dien een voorbeeld handmatig in", die u naar de pagina Een bestand verzenden voor malware-analyse op de website van Microsoft brengt. U kunt hier handmatig een verdacht bestand uploaden. Met de standaardinstellingen laadt Windows Defender echter mogelijk gevaarlijke bestanden en deze kunnen vrijwel onmiddellijk worden geblokkeerd. Je weet niet eens dat een bestand is geüpload - als het gevaarlijk is, wordt het binnen enkele seconden geblokkeerd.
Waarom u deze functies ingeschakeld moet laten
We raden u aan deze functies ingeschakeld te laten om uw pc te beschermen tegen malware. Malware kan zeer snel verschijnen en verspreiden en uw antivirus downloadt mogelijk niet vaak genoeg virusdefinitiebestanden om deze te stoppen. Dit soort functies helpen uw antivirus veel sneller te reageren op nieuwe malware-epidemieën en blokkeren nooit eerder vertoonde malware die anders door de kloof zou glippen.
Microsoft publiceerde onlangs een blogpost waarin een realistisch voorbeeld werd gegeven waarin een Windows-gebruiker een nieuw malwarebestand downloadde. Windows Defender heeft vastgesteld dat het bestand verdacht is en vroeg de cloudgebaseerde beveiligingsservice om meer informatie. Binnen de tijdsspanne van 8 seconden had de dienst een geüploade voorbeeldbestand ontvangen, geanalyseerd als malware, een antivirusdefinitie gemaakt en Windows Defender verteld om het van de pc te verwijderen. Dat bestand werd vervolgens op andere Windows-pc's geblokkeerd wanneer ze het tegenkwamen dankzij de nieuw gecreëerde virusdefinitie.
Dit is de reden waarom u deze functie ingeschakeld moet laten. Afgesneden van de cloudgebaseerde beveiligingsservice, had Windows Defender mogelijk niet genoeg informatie en moest het een beslissing nemen op zich, waardoor het gevaarlijke bestand mogelijk kon worden uitgevoerd. Met de cloudgebaseerde beveiligingsservice werd het bestand gelabeld als malware en alle pc's die werden beschermd door Windows Defender en die het in de toekomst vonden, wisten dat het bestand gevaarlijk was.