Песочница антивируса Защитника Windows в Windows 10

Microsoft реализовано новая функция в антивирусе Windows Defender Antivirus для Windows 10, которая позволяет запускать антивирусное решение в изолированной программной среде системы.

Функцию, которая доступна в Windows 10 версии 1703 и новее, необходимо включить на данный момент, поскольку она не активна по умолчанию в настоящее время.

Microsoft надеется, что новая ограничительная среда выполнения процессов антивируса Защитник Windows поможет защитить приложение от атак, направленных непосредственно на него. Антивирусные решения часто должны запускаться с высокими привилегиями для защиты всей системы от вредоносных атак; необходимость запуска с высокими привилегиями делает антивирусные программы высокопрофессиональными целями, особенно если они широко используются.

Microsoft заявила, что ей ничего не известно о целевых атаках «в дикой природе» на антивирус Защитника Windows, но исследователи в области безопасности определили способы успешной атаки на антивирус Защитника Windows в прошлом.

Изолированная среда добавляет антивирусному решению еще один уровень защиты. Вредоносное ПО, которое нацелено на успешную эксплуатацию антивируса Защитника Windows, должно будет использовать уязвимость в самом приложении и найти способ вырваться из изолированной среды, созданной Microsoft для программного обеспечения безопасности.

Запуск антивируса Защитника Windows в изолированной программной среде гарантирует, что в маловероятном случае взлома вредоносные действия будут ограничены изолированной средой, защищая остальную систему от повреждений.

Включить изолированную программную среду антивируса Защитника Windows

На момент написания песочница по умолчанию не включена. Однако он доступен на всех устройствах под управлением Windows 10 версии 1703 или выше.

Наконечник : если вы не уверены в версии Windows запустить winver.exe на Start, чтобы отобразить это.

Вот что вам нужно сделать, чтобы прямо сейчас включить песочницу антивируса Защитника Windows:

1. Откройте меню «Пуск».
2. Введите powershell.exe, чтобы отобразить PowerShell в качестве одного из результатов.
3. Щелкните результат правой кнопкой мыши и выберите «Запуск от имени администратора» или удерживайте клавиши Shift и Ctrl перед тем, как выбрать результат. Оба варианта выполняют PowerShell с повышенными правами.
4. Подтвердите запрос UAC, который может отображаться.
5. Бегать setx / M MP_FORCE_USE_SANDBOX 1 .
6. Перезагрузите Windows.

Команда устанавливает новую системную переменную, которая сообщает Windows запустить антивирус Защитника Windows с функцией песочницы.

Проверить, что песочница запущена, просто: откройте диспетчер задач Windows, нажав Ctrl-Shift-Esc, и убедитесь, что вы отображаете все подробности (если нет, нажмите на дополнительные сведения), и посмотрите на вкладку «Подробности» программы.

Найдите там MsMpEngCP.exe. Если вы его видите, песочница запущена и работает. Согласно Microsoft, процесс работает с низкими привилегиями и использует «все доступные политики смягчения».

Вы можете использовать сторонние программы как Process Explorer а также, если вы предпочитаете, чтобы они проверяли, включена ли песочница.

Ознакомьтесь с публикацией в блоге Microsoft в блоге Microsoft Secure, чтобы узнать о деталях реализации и проблемах, с которыми Microsoft столкнулась в ходе исследований и разработок.

Теперь ваша очередь: Какое антивирусное решение вы используете?