沙箱版目前对 Windows Insider 用户开放,Windows 10 version 1703 及以上版本也可以强制开启。
为强化Windows安全,微软打造了 Windows Defender 沙箱版。
经过安全部门的大量投入,微软开始了将 Windows Defender 移入沙箱的过程。此前,微软内部员工及外部研究人员均发现了攻击者利用 Windows Defender 内容解析器中的漏洞执行任意代码的方法。
但 Windows Defender 工程团队的 Mady Marinescu 和微软内容体验的 Eric Avena 在相关博客文章中均表示,该工程是一项复杂的任务。团队不得不研究性能和功能上的影响,并确认出高危领域以确保沙箱化不会与现有安全措施冲突。
Windows Defender 以高权限执行,扫描系统中的恶意内容,因而成为了网络攻击的主要目标。只要有人成功利用了 Windows Defender 中的漏洞,整个系统都能被接管。微软报告称发现了针对该杀毒工具的攻击,但该公司一直在运用基于硬件的隔离、网络防护、受控文件夹访问等技术受到强化 Windows 10 。
Windows Defender 被放到受限进程执行环境后,攻击者即便成功侵入,也只能受困于该隔离环境内部,无法影响系统的其他部分。
在博客帖子中, Mainescu 和 Avenca 描述了沙箱化过程中他们是如何平衡功能与性能的。比如说,微软不得不考虑一些风险性功能,比如扫描非受信输入和扩展容器,同时还要最少化可被沙箱化和必须以高权限执行的Defender组件之间的交互。
他们解释道,杀毒工具往往同时执行多个进程,于是,性能便成为了沙箱化杀毒工具的一个关键考虑。为缓解风险,该团队必须最少化沙箱进程与高权限进程间的互动数量,并确保这些互动只在不会引发巨大代价的关键时刻执行。
该功能目前对 Windows Insider 用户开放,在即将推出的 Windows 10 版本中测试。如果等不急, Windows 10 version 1703 及以上版本也提供强制启用选项。
据报道,微软目前正在研发 Windows Defender Antivirus 的反篡改防御功能。
微软 Windows Defender 工程团队博客帖子: