Встроенный антивирус Windows 10 теперь может работать в песочнице. Даже если злоумышленник скомпрометирует антивирусное ядро, у него не будет доступа к остальной части системы. По словам Тависа Орманди из Google, «это изменение игры».
Фактически, Защитник Windows является первым полным антивирусным продуктом, который может работать в «песочнице». Ни один из платных (или бесплатных) антивирусных продуктов, которые вы можете загрузить, не может похвастаться этой функцией.
Эта новость взята с официального блога Microsoft Secure. Как говорит Microsoft:
Исследователи безопасности, как внутри, так и за пределами Microsoft, ранее определили способы, которыми злоумышленник может воспользоваться уязвимостями в анализаторах контента Защитника Windows, которые могут позволить выполнение произвольного кода. Несмотря на то, что мы не видели атак в дикой природе, активно нацеленных на Антивирус Защитника Windows, мы серьезно относимся к этим сообщениям
Запуск Защитника Windows в изолированной программной среде гарантирует, что в маловероятном случае компрометации вредоносные действия ограничиваются изолированной средой, защищая остальную часть системы от вреда.
Другими словами, антивирусный процесс Защитника Windows, который анализирует загруженные файлы и другой контент, будет работать с очень ограниченными разрешениями. Даже если в антивирусном процессе была ошибка, и созданный злонамеренно файл смог скомпрометировать сам антивирус, этот опасный теперь антивирусный процесс не обеспечил бы никакого доступа к остальной части вашей системы. Атака провалилась бы.
Конечно, антивирус все еще нуждается в большом доступе к вашей системе. Но основной антивирусный процесс, который выполняется с большим количеством разрешений, не будет анализировать файлы. Он передает контент в изолированную среду с низким уровнем привилегий, которая выполняет грязную и опасную работу в безопасной зоне.
Далее в блоге Microsoft описывается, как эта функция была реализована без заметного снижения производительности:
Производительность часто является основной проблемой, возникающей в «песочнице», особенно с учетом того, что продукты для защиты от вредоносных программ находятся во многих критических ситуациях, таких как синхронная проверка файловых операций и обработка, а также агрегация или сопоставление большого количества событий времени выполнения. Чтобы гарантировать, что производительность не снижается, нам пришлось минимизировать количество взаимодействий между песочницей и привилегированным процессом, и в то же время выполнять эти взаимодействия только в ключевые моменты, когда их стоимость не будет значительной, например, когда IO выполняется.
Гораздо больше подробностей, чем в сообщении в блоге Microsoft, поэтому зацените его, если вам интересно.
Когда ты это получишь?
Хотя эта функция впечатляет, она по умолчанию не включена в системах Windows 10 – пока. Microsoft заявляет, что «постепенно включит» эту функцию для Windows Insiders и проанализирует, как она работает в реальном мире.
Предупреждение . Microsoft недостаточно уверена в том, что эта функция включена для всех по умолчанию, поэтому после ее включения могут возникнуть ошибки. Мы включили его в нашей системе, и все, казалось, работало нормально.
Чтобы включить эту функцию сегодня, запустите окно командной строки или PowerShell от имени администратора, выполните следующую команду и перезагрузите компьютер:
setx/M MP_FORCE_USE_SANDBOX 1
Эта команда работает в Windows 10 версии 1703, также известной как Creators Update, и в более новых версиях Windows 10. Эта версия Windows 10 была выпущена в апреле 2017 года, поэтому на вашем ПК эта версия наверняка уже установлена или более новая.
Если вы хотите отменить это изменение, выполните ту же команду, заменив «1» на «0», и перезагрузите компьютер еще раз. Если у вас возникли проблемы с загрузкой компьютера по какой-либо причине, попробуйте загрузиться в безопасном режиме, а затем запустите команду.
После включения изолированной программной среды вы увидите специальный процесс содержимого с именем MsMpEngCP.exe с меньшими разрешениями, работающий вместе со стандартным процессом защиты от вредоносных программ MsMpEng.exe.
Изолированный процесс Защитника Windows, как видно из Microsoft Process Explorer.
Когда-то мы довольно критично относились к антивирусам Microsoft, но мы думаем, что последние версии довольно хороши. Мы рекомендуем использовать Защитник Windows, чтобы обеспечить безопасность вашего компьютера без каких-либо дополнительных затрат и ошибок, которые вносит стороннее антивирусное программное обеспечение. И он по умолчанию включен в Windows 10, поэтому у всех пользователей Windows наконец-то есть надежный антивирус.
Хотелось бы, чтобы антивирус Microsoft был более агрессивен в отношении блокировки ПО по умолчанию.
Имидж Кредит: Горлов-К.В./Shutterstock.com, Microsoft
