El Windows Defender Antivirus Sandbox de Windows 10

Microsoft implementat una nova funcionalitat a Windows Defender Antivirus per a Windows 10 que fa que la solució antivirus es publiqui en una caixa de sorra del sistema.

La funció, disponible en Windows 10 versió 1703 i més recent, ha d'estar habilitada de moment, ja que actualment no està activa de manera predeterminada.

Microsoft espera que el nou entorn d'execució de processos restrictius de Windows Defender Antivirus ajudi a protegir l'aplicació contra atacs dirigits directament a ella. Les solucions antivirus solen funcionar amb privilegis elevats per protegir tot el sistema contra atacs maliciosos; la necessitat de córrer amb privilegis elevats fa que els programes antivirus siguin objectius d’alt perfil, sobretot si s’utilitzen àmpliament.

Microsoft va afirmar que desconeix els atacs 'in-the-wild' dirigits contra Windows Defender Antivirus, però que els investigadors de seguretat van identificar maneres d'atacar Windows Defender Antivirus amb èxit en el passat.

Un entorn amb caixa de sorra afegeix una altra capa de protecció a la solució antivirus. El programari maliciós que pretén explotar amb èxit Windows Defender Antivirus hauria d’explotar una vulnerabilitat a l’aplicació mateixa i trobar la manera de sortir de l’entorn sandboxed que Microsoft va crear per al programari de seguretat.

L'execució de Windows Defender Antivirus en una caixa de sorra garanteix que, en el improbable cas de compromís, les accions malicioses es limiten a l'entorn aïllat, protegint la resta del sistema dels danys.

Habilita la caixa de sorra de Windows Defender Antivirus

windows defender antivirus sandbox

El sandboxing no està habilitat per defecte en el moment d’escriure. Tanmateix, està disponible en tots els dispositius que utilitzin la versió Windows 1703 o superior de Windows 10.

Consell : si no esteu segurs sobre la versió de Windows executar winver.exe a Comença a mostrar-la.

A continuació, es mostra el que cal fer per habilitar el sandboxing de Windows Defender Antivirus:

  1. Obriu el menú Inici.
  2. Escriviu powershell.exe per mostrar PowerShell com un dels resultats.
  3. Feu clic amb el botó dret sobre el resultat i seleccioneu 'Executar com a administrador' o manteniu premuda la tecla Maj i la tecla Ctrl abans de seleccionar el resultat. Les dues opcions executen PowerShell amb drets elevats.
  4. Confirmeu el símbol de la UAC que es pot mostrar.
  5. Correr setx / M MP_FORCE_USE_SANDBOX 1 .
  6. Reinicieu Windows.

L'ordre estableix una nova variable del sistema que demana a Windows que executi Windows Defender Antivirus amb funcionalitat de sandbox.

Verificar que el sandbox està en funcionament és senzill: obriu el Gestor de tasques de Windows amb un toc a Ctrl-Shift-Esc i assegureu-vos de mostrar tots els detalls (feu clic a més detalls si no) i mireu la pestanya Detalls del programa.

Localitza MsMpEngCP.exe allà. Si ho veieu, la caixa de sorra està en funcionament. El procés s'executa amb privilegis baixos i utilitza 'totes les polítiques de mitigació disponibles' segons Microsoft.

Podeu utilitzar programes de tercers com Process Explorer també si preferiu que verifiqui que la caixa de sorra està habilitada.

Consulteu la publicació del bloc de Microsoft al bloc de Microsoft Secure per obtenir detalls d’implementació i reptes que Microsoft va afrontar durant la investigació i desenvolupament.

Ara tu: Quina solució antivirus tens?