Windows内置防病毒软件获得安全沙盒模式

微软Windows内置的反恶意软件工具Windows Defender已经成为第一款能够在沙箱环境中运行的防病毒软件。

沙箱是一个在安全环境中运行应用程序的过程，该环境与计算机上的其他操作系统和应用程序隔离。因此，如果沙盒应用程序受到损害，该技术可以防止其损害扩散到封闭区域之外。

由于防病毒和反恶意软件工具以最高权限运行，可以扫描计算机的所有部分以查找恶意代码，因此它已成为攻击者的目标。

过去几年，在包括Windows Defender在内的功能强大的应用程序中发现了多个关键漏洞，使得攻击者能够完全控制目标系统，因此有必要对防病毒工具进行沙盒攻击。

这就是为什么微软宣布在其Windows Defender中添加沙盒模式。因此，即使攻击者或恶意应用程序利用Defender中的漏洞破坏了防病毒引擎，损害也无法波及到系统的其他部分。

微软在一篇博客文章中说：“微软内外的安全研究人员此前已经发现，攻击者可以利用Windows Defender Antivirus的内容解析器中的漏洞来执行任意代码”。

Google Project Zero的研究员塔维斯·奥曼迪（Tavis Ormandy）在过去一年中发现并披露了其中几类缺陷，他在Twitter上称赞微软的努力，称这是“改变游戏规则”的努力

“在沙箱中运行Windows Defender Antivirus可确保在发生不太可能的泄露事件时，恶意操作仅限于隔离环境，从而保护系统的其余部分免受伤害，”微软说。

据微软称，在Windows Defender中实现沙箱对其工程师来说是一个挑战，因为这个过程有可能导致性能下降，需要进行一些根本性的更改。

然而，研究界认为这是微软欢迎的一步，它提高了商业反病毒和反恶意软件解决方案的安全标准。

如何在Windows Defender Antivirus中启用沙盒功能

目前，在Windows 10、版本1703（也称为Creators Update）或更高版本上运行的Windows Defender支持沙盒功能，默认情况下未启用该功能，但您可以通过在系统上运行以下命令来启用该功能：

1. 打开Start并搜索“CMD”或“Command Prompt”
2. 右键单击它并选择“以管理员身份运行”
3. 键入：“setx/M MP_FORCE_USE_SANDBOX 1”，然后按ENTER键
4. 然后重启你的电脑，就这样。

微软正在逐步推出Windows Insider预览版，支持Defender Antivirus中的沙盒功能，该功能很快将被广泛使用，但不确定何时会实现。