«Защитник Windows» теперь может работать в «песочнице»

«Защитник Windows» теперь может работать в «песочнице»

Поместив Windows Defender в «песочницу», Microsoft усложнила злоумышленникам задачу доступа к важным системным модулям.

«Защитник Windows» (Windows Defender) теперь может запускаться в виртуализированной среде в Windows 10 версии 1703 и выше. Антивирус стал первым продуктом безопасности, поддерживающим данную возможность, сообщила Microsoft в своем блоге.

Поместив Windows Defender в «песочницу», производитель усложнил злоумышленникам задачу доступа к критически важным системным модулям, поскольку изолированные приложения не могут взаимодействовать с остальной частью системы и имеют крайне ограниченный доступ к ресурсам памяти и к файловой системе.

Данная мера является ответным шагом Microsoft на рекомендации многочисленных экспертов по безопасности, неоднократно описывавших методы, с помощью которых злоумышленники могут воспользоваться уязвимостями в антивирусе Windows Defender для удаленного выполнения кода.

Поддержка функции запуска Windows Defender в изолированной среде была «по-тихому» добавлена Windows 10 (версия 1703). Хотя новый функционал пока доступен участникам программы предварительного тестирования Windows Insider, другие пользователи могут включить его вручную, выполнив команду setx /M MP_FORCE_USE_SANDBOX 1 в командной строке с правами администратора, далее следует перезагрузить компьютер.

После того, как песочница будет включена, пользователи увидят процесс MsMpEngCP.exe, работающий наряду со службой MsMpEng.exe. Отключение песочницы осуществляется путем ввода команды setx /M MP_FORCE_USE_SANDBOX 0 в командной строке с правами администратора и последующей перезагрузки компьютера.


Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!