Поместив Windows Defender в «песочницу», Microsoft усложнила злоумышленникам задачу доступа к важным системным модулям.
Поместив Windows Defender в «песочницу», производитель усложнил злоумышленникам задачу доступа к критически важным системным модулям, поскольку изолированные приложения не могут взаимодействовать с остальной частью системы и имеют крайне ограниченный доступ к ресурсам памяти и к файловой системе.
Данная мера является ответным шагом Microsoft на рекомендации многочисленных экспертов по безопасности, неоднократно описывавших методы, с помощью которых злоумышленники могут воспользоваться уязвимостями в антивирусе Windows Defender для удаленного выполнения кода.
Поддержка функции запуска Windows Defender в изолированной среде была «по-тихому» добавлена Windows 10 (версия 1703). Хотя новый функционал пока доступен участникам программы предварительного тестирования Windows Insider, другие пользователи могут включить его вручную, выполнив команду setx /M MP_FORCE_USE_SANDBOX 1 в командной строке с правами администратора, далее следует перезагрузить компьютер.
После того, как песочница будет включена, пользователи увидят процесс MsMpEngCP.exe, работающий наряду со службой MsMpEng.exe. Отключение песочницы осуществляется путем ввода команды setx /M MP_FORCE_USE_SANDBOX 0 в командной строке с правами администратора и последующей перезагрузки компьютера.
Подробнее:
