Connect with us

Tipps

Windows Defender bietet jetzt einen extrem sicheren Sandbox-Modus. So aktivieren Sie ihn

Windows Defender bietet jetzt einen extrem sicheren Sandbox-Modus. So aktivieren Sie ihn

Das in Windows 10 integrierte Antivirenprogramm kann jetzt in einer Sandbox ausgeführt werden. Selbst wenn ein Angreifer die Antiviren-Engine kompromittiert, hat er keinen Zugriff auf den Rest des Systems. Wie bei Google Tavis Ormandy sagt es: «Das ändert das Spiel.»

Tatsächlich ist Windows Defender das erste vollständige Antivirenprodukt, das in einer Sandbox ausgeführt werden kann. Keines der kostenpflichtigen (oder kostenlosen) Antivirenprodukte, die Sie herunterladen können, verfügt über diese Funktion.

Diese Nachricht kommt vom Beamten Microsoft Secure Blog. Wie Microsoft es ausdrückt:

Sicherheitsforscher innerhalb und außerhalb von Microsoft haben zuvor Möglichkeiten identifiziert, wie ein Angreifer Schwachstellen in den Inhaltsparsern von Windows Defender Antivirus ausnutzen kann, die die Ausführung von willkürlichem Code ermöglichen könnten. Obwohl wir keine Angriffe in freier Wildbahn gesehen haben, die aktiv auf Windows Defender Antivirus abzielen, nehmen wir diese Berichte ernst…

Durch Ausführen von Windows Defender Antivirus in einer Sandbox wird sichergestellt, dass böswillige Aktionen im unwahrscheinlichen Fall eines Kompromisses auf die isolierte Umgebung beschränkt sind und den Rest des Systems vor Schäden schützen.

Mit anderen Worten, der Windows Defender-Antivirenprozess, der heruntergeladene Dateien und andere Inhalte analysiert, wird mit sehr wenigen Berechtigungen ausgeführt. Selbst wenn es einen Fehler im Antivirenprozess gab und eine böswillig gestaltete Datei das Antivirenprogramm selbst gefährden konnte, würde dieser jetzt gefährliche Antivirenprozess keinen Zugriff auf den Rest Ihres Systems gewähren. Der Angriff wäre gescheitert.

Sicher, ein Antivirenprogramm benötigt immer noch viel Zugriff auf Ihr System. Der Haupt-Antivirenprozess, der mit vielen Berechtigungen ausgeführt wird, analysiert jedoch keine Dateien. Der Inhalt wird an einen Sandbox-Prozess mit geringen Berechtigungen übergeben, der die schmutzige und gefährliche Arbeit in einem sicheren Bereich erledigt.

In Microsofts Blogbeitrag wird weiter beschrieben, wie diese Funktion ohne merkliche Leistungseinbußen implementiert wurde:

Die Leistung ist häufig das Hauptanliegen beim Sandboxing, insbesondere angesichts der Tatsache, dass sich Antimalware-Produkte auf vielen kritischen Pfaden befinden, z. B. bei der synchronen Überprüfung von Dateivorgängen und der Verarbeitung sowie beim Aggregieren oder Abgleichen einer großen Anzahl von Laufzeitereignissen. Um sicherzustellen, dass sich die Leistung nicht verschlechtert, mussten wir die Anzahl der Interaktionen zwischen der Sandbox und dem privilegierten Prozess minimieren und diese Interaktionen gleichzeitig nur in Schlüsselmomenten durchführen, in denen ihre Kosten beispielsweise nicht signifikant wären IO wird ausgeführt.

Es gibt viel mehr Details als das in Microsoft Blog-BeitragProbieren Sie es aus, wenn Sie interessiert sind.

Wann wirst du es bekommen?

Obwohl diese Funktion aufregend ist, ist sie auf Windows 10-Systemen noch nicht standardmäßig aktiviert. Microsoft sagt, dass es diese Funktion für Windows Insider «schrittweise aktivieren» und analysieren wird, wie sie in der realen Welt funktioniert.

Warnung: Microsoft ist noch nicht sicher genug, um diese Funktion standardmäßig für alle zu aktivieren. Daher können nach dem Aktivieren Fehler auftreten. Wir haben es auf unserem System aktiviert und alles schien gut zu funktionieren.

Um diese Funktion heute zu aktivieren, starten Sie als Administrator eine Eingabeaufforderung oder ein PowerShell-Fenster, führen Sie den folgenden Befehl aus und starten Sie Ihren PC neu:

setx /M MP_FORCE_USE_SANDBOX 1

Dieser Befehl funktioniert unter Windows 10 Version 1703, auch als Creators Update bekannt, und neueren Versionen von Windows 10. Diese Version von Windows 10 wurde im April 2017 veröffentlicht, sodass Ihr PC mit ziemlicher Sicherheit über diese oder eine neuere Version verfügt.

Wenn Sie diese Änderung rückgängig machen möchten, führen Sie denselben Befehl aus, ersetzen Sie die „1“ durch eine „0“ und starten Sie Ihren PC erneut. Wenn Sie aus irgendeinem Grund Probleme beim Booten Ihres PCs haben, versuchen Sie, im abgesicherten Modus zu booten, und führen Sie dann den Befehl aus.

Nach dem Aktivieren von Sandboxing wird ein spezieller Inhaltsprozess mit dem Namen MsMpEngCP.exe mit weniger Berechtigungen angezeigt, der neben dem Standard-Antimalware-Prozess MsMpEng.exe ausgeführt wird.

Der Windows Defender-Prozess mit Sandbox, wie er in Microsoft zu sehen ist Process Explorer.

Wir standen dem Antivirenprogramm von Microsoft einmal ziemlich kritisch gegenüber, aber wir finden die neuesten Versionen ziemlich gut. Wir empfehlen die Verwendung von Windows Defender, um Ihren PC ohne die Upsells und Fehler zu schützen, die Antivirensoftware von Drittanbietern mit sich bringt. Und es ist standardmäßig in Windows 10 enthalten, sodass alle Windows-Benutzer endlich über ein solides Antivirenprogramm verfügen.

Wir wünschen uns nur, dass das Antivirenprogramm von Microsoft aggressiver gegen das Blockieren von Crapware ist.

Bildnachweis: Gorlov-KV/Shutterstock.com, Microsoft

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia