Защитник Windows 10 может работать в изолированной среде. Как включить поддержку песочницы

Поместив Защитник Windows в песочницу, Microsoft максимально усложнила разработчикам вредоносных программ задачу получения доступа к критически важным системным модулям, потому что изолированные приложения не могут взаимодействовать с остальной частью системы и имеют крайне ограниченный доступ к ресурсам памяти и к файловой системе.

Внедрение среды с ограничениями выполнения процессов является реакцией Microsoft на многочисленные рекомендации от исследователей безопасности, которые посчитали антивирус, обладающий повышенными привилегиями, чрезвычайно опасным вектором атаки.

Защитник Windows использует права администратора для постоянного мониторинга и блокировки вредоносных атак. Однако, данная особенность системного решения безопасности делает продукт идеальной целью для киберпреступников, которые ищут простой способ для получения повышенных привилегий во взломанной системе.

За счет реализации поддержки запуска в песочнице для Защитника Windows, Microsoft хочет гарантировать, что злоумышленники, которые сумеют провести успешную эксплуатации уязвимостей антивируса с целью исполнения произвольного кода, не смогут получить повышенные привилегии.

Microsoft сообщает:

Запуск Защитника Windows в виртуализированной среде гарантирует, что даже в маловероятном случае взлома, злоумышленники будут ограничены изолированной средой и не смогут нанести ущерб остальной части системы.

Данная мера является частью длительной стратегии Microsoft по обеспечению защиты от атак с помощью инновационных механизмов безопасности. Защитник Windows и остальные компоненты Advanced Threat Protection Защитника Windows теперь получили интеграцию с другими компонентами безопасности из Microsoft 365 для создания единой системы Microsoft Threat Protection.

Как включить поддержку песочницы

Хотя новая функция запуска Защитника Windows в изолированной среде пока доступна только участникам программы предварительной оценки Windows Insider, другие пользователи Windows 10 тоже могут включить ее вручную. Для этого нужно выполнить следующую команду в командной строке с правами администратора и перезагрузить компьютер:

setx /M MP_FORCE_USE_SANDBOX 1

После того, как песочница включена, клиенты будут видеть процесс MsMpEngCP.exe (content process), работающий вместе с антивирусной службой MsMpEng.exe.

Как отключить поддержку песочницы

Если вы обнаружите, что после включения режима песочницы ваша система работает медленнее, возникает слишком много ложных срабатываний, или у вас есть проблемы с доступом к файлам или приложениям в вашей системе, вы можете отключить поддержку песочницы.

Для этого нужно выполнить следующую команду в командной строке с правами администратора и перезагрузить компьютер:

setx /M MP_FORCE_USE_SANDBOX 0

Заключение

Помимо новой функции песочницы, Microsoft ранее добавила в Windows 10 ряд других мер безопасности (улучшения в версиях 1809, 1803, 1709), чтобы обеспечить защиту пользователей от потенциальных атак, начиная от защиты от эксплойтов и сетевой защиты, и заканчивая аппаратной изоляцией и контролируемым доступом к папкам.

Источник: Comss.ru