Поместив Защитник Windows в песочницу, Microsoft максимально усложнила разработчикам вредоносных программ задачу получения доступа к критически важным системным модулям, потому что изолированные приложения не могут взаимодействовать с остальной частью системы и имеют крайне ограниченный доступ к ресурсам памяти и к файловой системе.
Внедрение среды с ограничениями выполнения процессов является реакцией Microsoft на многочисленные рекомендации от исследователей безопасности, которые посчитали антивирус, обладающий повышенными привилегиями, чрезвычайно опасным вектором атаки.
Защитник Windows использует права администратора для постоянного мониторинга и блокировки вредоносных атак. Однако, данная особенность системного решения безопасности делает продукт идеальной целью для киберпреступников, которые ищут простой способ для получения повышенных привилегий во взломанной системе.
За счет реализации поддержки запуска в песочнице для Защитника Windows, Microsoft хочет гарантировать, что злоумышленники, которые сумеют провести успешную эксплуатации уязвимостей антивируса с целью исполнения произвольного кода, не смогут получить повышенные привилегии.
Microsoft сообщает:
Запуск Защитника Windows в виртуализированной среде гарантирует, что даже в маловероятном случае взлома, злоумышленники будут ограничены изолированной средой и не смогут нанести ущерб остальной части системы.
Данная мера является частью длительной стратегии Microsoft по обеспечению защиты от атак с помощью инновационных механизмов безопасности. Защитник Windows и остальные компоненты Advanced Threat Protection Защитника Windows теперь получили интеграцию с другими компонентами безопасности из Microsoft 365 для создания единой системы Microsoft Threat Protection.
Как включить поддержку песочницы
Новая функция запуска Защитника Windows в изолированной среде доступна всем пользователям Windows 10 (версия 1703 и выше), но ее необходимо включить вручную. Для этого нужно выполнить следующие действия:
- Нажмите меню Пуск и наберите cmd, затем выберите Командная строка > Запуск от имени администратора.
- Выполнить следующую команду:
setx /M MP_FORCE_USE_SANDBOX 1
- Перезагрузите компьютер.
После того, как песочница включена, с помощью утилиты Process Explorer можно увидеть, что процесс MsMpEngCP.exe (content process) работает вместе с антивирусной службой MsMpEng.exe.
Как отключить поддержку песочницы
Если вы обнаружите, что после включения режима песочницы ваша система работает медленнее, возникает слишком много ложных срабатываний, или у вас есть проблемы с доступом к файлам или приложениям в вашей системе, вы можете отключить поддержку песочницы. Для этого нужно выполнить следующие действия:
- Нажмите меню Пуск и наберите cmd, затем выберите Командная строка > Запуск от имени администратора.
- Выполнить следующую команду:
setx /M MP_FORCE_USE_SANDBOX 0
- Перезагрузите компьютер.
Заключение
Помимо новой функции песочницы, Microsoft ранее добавила в Windows 10 ряд других мер безопасности (улучшения в версиях 1903, 1809, 1803, 1709), чтобы обеспечить защиту пользователей от потенциальных атак, начиная от защиты от эксплойтов и сетевой защиты, и заканчивая встроенной песочницей Windows Sandbox, аппаратной изоляцией и контролируемым доступом к папкам.
Последние статьи #Windows
• Microsoft расширяет возможности Copilot+ ПК на ноутбуки с процессорами Intel и AMD
• Как установить Windows 11 без Интернета и учетной записи Microsoft: официальный способ
• Релиз Microsoft PowerToys 0.90: новый лаунчер «Палитра команд, улучшенный Цветоподборщик и другие изменения
• Обновление KB5053654 (Build 22635.5160) для Windows 11, версия 23H2 (Beta)
• Microsoft уберёт смайлик и QR-код с «экрана смерти» в Windows 11
• Microsoft тестирует новый инструмент для удаленного устранения сбоев загрузки Windows 11