«Песочница» - изолированный режим антивируса «Защитник Windows»

Читайте о том, как включить изолированную среду для «Защитника Windows». А также, почему «Песочница» важна с точки зрения обеспечения безопасности.

Антивирус «Защитник Windows» теперь работает в среде «Песочница»
Содержание:

Введение

На борьбу со зловредными программами и элементами вредоносного кода направлены усилия антивирусного программного обеспечения. В информационной сети «Интернет» представлены продукты различных разработчиков, нацеленные на создание безопасной среды для хранения и обработки данных.

Однако не только узкоспециализированные компании направляют свои усилия на создание современных защитных инструментов, но и отдельные технологические гиганты, одним из которых, безусловно, является корпорация «Microsoft», системные программные продукты которой составляют основное ее ядро, ведут собственные разработки в этом направлении. Прогрессивные технологии, применяемые в программном процессе, помогли разработчикам корпорации создать не только лучшие решения в своем классе, но и выделить новый рынок в программной среде. Например, операционная система «Windows» стала новатором среди систем управления компьютерными устройствами с дружественным графическим, ориентированным на требования и предпочтения конечного потребителя, интерфейсом, и положила начало новому стандарту программ.

Для улучшения общих характеристик операционной системы, повышения уровня ее устойчивости и поддержки высоких параметров безопасности, корпорация «Microsoft» применяет систему усовершенствований, одним из которых является расширение функциональных возможностей «Windows», направленное на обязательное применение встроенных защитных решений собственной разработки, представленных в едином системном комплексе. Одним из таких нововведений выступает новая способность «Защитника Windows» («Windows Defender») использовать для своего функционирования изолированную программную среду «Песочница».

Благодаря такой разработке антивирусное решение «Windows Defender» превращается в полноценный защитный инструмент, который при наличии угроз безопасности или дискредитации антивирусной среды не позволит нанести вред устройству и всем доступным данным, мгновенно ограничивая доступ к остальной части системы. Использование «Песочницы» позволяет встроенному «Защитнику Windows» поднять планку безопасности на новый уровень и удерживать лидерство среди других вариантов защитных решений.

Запуск «Песочницы» гарантирует, что компьютерное устройство пользователя не будет скомпрометировано, активация самопроизвольного исполнения вредоносного кода и другие зловредные действия будут ограничены только данной изолированной средой, предоставляя загруженным файлам и приложениям возможность функционировать лишь с небольшим количеством разрешений, тем самым полностью защищая систему от развития любых негативных сценариев.

Способ включения изолированной среды для «Защитника Windows»

Для включения программной изолированной среды в операционной системе «Windows 10», которая по умолчанию не активна, потребуется воспользоваться возможностями приложения «Командная строка» или более гибкого средства автоматизации «Windows PowerShell».

Примечание. Запуск стандартного антивирусного защитного приложения в «Песочнице» возможен в операционной системе «Windows 10» версии «1703» или новее.

Для реализации операции запуска «Windows Defender» в изолированной среде с целью снижения риска применения уязвимостей стандартного антивируса для последующего заражения системы, необходимо установить переменную среду на уровне компьютера с последующим его перезапуском.

Поэтому сначала откройте приложение «Командная строка» или «Windows PowerShell» с правами администратора. Например, нажмите в нижнем левом углу рабочего стола кнопку «Поиск», расположенную на «Панели задач» рядом с кнопкой «Пуск». Затем в поле поискового запроса введите фразу «командная строка». В разделе «Лучшее соответствие» будет представлено искомое приложение. Нажмите на нем правой кнопкой мыши и во всплывающем меню выберите раздел «Запуск от имени администратора». Или выберите соответствующую строку в дополнительном правом меню поискового окна.

Откройте приложение «Командная строка»

«Windows PowerShell» можно вызвать нажатием правой кнопки мыши на кнопку «Пуск» или совместной комбинацией клавиш «Windows + X», каждое из которых задействует открытие всплывающего меню. Теперь из перечня представленных действий необходимо выбрать раздел «Windows PowerShell (администратор)».

«Windows PowerShell» можно вызвать нажатием правой кнопки мыши на кнопку «Пуск»

Нажмите кнопку «Да» во всплывающем системном сообщении службы контроля учетных записей «Разрешить этому приложению вносить изменения на вашем устройстве?» и приложение обработчика команд «Windows» будет открыто.

Теперь в окне приложения введите следующую команду «setx /M MP_FORCE_USE_SANDBOX 1» (без кавычек) и нажмите на клавиатуре клавишу «Ввод». Дождитесь исполнения команды, а затем перезагрузите свое устройство, чтобы внесенные изменения вступили в силу.

Введите следующую команду «setx /M MP_FORCE_USE_SANDBOX 1» (без кавычек)

После того, как «Песочница» будет включена, пользователи смогут увидеть запущенный процесс «MsMpEngCP.exe», работающий рядом со службой «MsMpEng.exe», в соответствующем списке приложения «Диспетчер задач». При желании, пользователи могут отключить функцию «Песочницы» и вернуться в исходное состояние, заново набрав выше представленную команду и заменив числовое значение с «1» на «0». Команда будет иметь следующий вид «setx /M MP_FORCE_USE_SANDBOX 0». Затем также будет необходимо выполнить перезагрузку системы устройства для применения заданных изменений.

При желании, пользователи могут отключить функцию «Песочницы»: setx /M MP_FORCE_USE_SANDBOX 0

Почему «Песочница» важна с точки зрения обеспечения безопасности

Антивирусное программное обеспечение изначально было разработано с целью обеспечения всесторонней безопасности компьютерного устройства, информации, хранящейся на нем, и сетевых соединений путем проверки всей системы на предмет наличия уязвимостей и присутствия вредоносного содержимого, а также противодействия всевозможным угрозам в режиме реального времени. Таким образом, было важно запустить программу с высокими привилегиями. Такое разрешение сделало антивирус потенциальным кандидатом для вредоносных атак (особенно данное утверждение касается уязвимостей стандартного приложения «Защитник Windows», существующих в анализаторах содержимого и способных вызывать незапланированное исполнение произвольного кода).

Запуск «Защитника Windows» в «Песочнице» значительно снижает уязвимость системы, поскольку серьезно усложняет злоумышленникам процесс доступа к критически важным системным модулям. Кроме того, использование «Windows Defender» в такой безопасной изолированной среде ограничивает проникновение вредоносного кода в случае потенциального инфицирования или нарушения целостности защиты системы.

Тем не менее, все эти действия имеют прямое отношение к общей производительности. Поэтому, чтобы гарантировать, что производительность не ухудшится, корпорация «Microsoft» применила новый подход. Главным образом он направлен на минимизацию количества взаимодействий между «Песочницей» и привилегированным процессом.

Компания также разработала особую модель, которая хранит максимальное количество данных защиты в файлах с непосредственным отображением в памяти, которые доступны только для чтения во время исполнения. Такое действие гарантирует, что влияние дополнительной нагрузки на систему будет минимальным. Кроме того, данные защиты размещаются в нескольких процессах. Это оказывается полезным в тех случаях, когда и привилегированный процесс, и процесс изолированной программной среды, требуют получения доступа к сигнатурам и другим метаданным обнаружения и исправления.

Также важно отметить, что процесс «Песочница» не позволяет самостоятельно запускать операции, способные оказывать влияние на процессы за пределами изолированной среды. Поэтому применение в изолированной среде «Защитника Windows» помогает реализовать высокие гарантии надежности и обеспечить детальный контроль за процессами.

Заключение

Информация имеет широкое массовое распространение и вопрос ее сохранности и защиты приобретает важнейшее значение. Благодаря применению современных версий антивирусного программного обеспечения удается значительно снизить риск ее повреждения, кражи или уничтожения, а также потенциального использования для совершения противоправных действий разнообразными злоумышленниками.

Новая разработка корпорации «Microsoft», позволяющая использовать изолированную программную среду для запуска стандартного антивируса «Windows Defender», поможет существенно снизить риск заражения системы через возможные уязвимости приложения.

Используя полученные знания, пользователи всегда смогут запустить изолированную среду или отключить ее при необходимости за несколько простых шагов.

Author: Maxim Cherniga

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5.00 out of 5)