Windows 10のWindows Defenderアンチウイルスサンドボックス
マイクロソフト 実装された 最近、Windows Defender Antivirus for Windows 10の新機能により、ウイルス対策ソリューションがシステムのサンドボックスで実行されます。
Windows 10バージョン1703以降で利用可能なこの機能は、現在デフォルトではアクティブになっていないため、当面は有効にする必要があります。
マイクロソフトは、Windows Defender Antivirusの新しい制限的なプロセス実行環境が、アプリケーションを直接標的とする攻撃からアプリケーションを保護するのに役立つことを期待しています。多くの場合、ウイルス対策ソリューションは、悪意のある攻撃からシステム全体を保護するために高い特権で実行する必要があります。高い特権で実行する必要があるため、特に広く使用されている場合は、アンチウイルスプログラムが注目を集めます。
Microsoftは、Windows Defenderアンチウイルスに対する「実際の」標的型攻撃を認識していないが、セキュリティ研究者は過去にWindows Defenderアンチウイルスを攻撃する方法を特定したと述べています。
サンドボックス環境は、アンチウイルスソリューションに保護の別のレイヤーを追加します。 Windows Defenderアンチウイルスの悪用を成功させるマルウェアは、アプリケーション自体の脆弱性を悪用し、Microsoftがセキュリティソフトウェア用に作成したサンドボックス環境から抜け出す方法を見つける必要があります。
サンドボックスでWindows Defenderアンチウイルスを実行すると、万が一の侵害の場合でも、悪意のあるアクションが隔離された環境に限定され、システムの残りの部分が危害から保護されます。
Windows Defender Antivirusサンドボックスを有効にする
執筆時点では、デフォルトでサンドボックスは有効になっていません。ただし、Windows 10バージョン1703以降を実行しているすべてのデバイスで使用できます。
ヒント :Windowsのバージョンがわからない場合 winver.exeを実行します。 開始時に表示します。
Windows Defenderアンチウイルスのサンドボックスを今すぐ有効にするには、次のことを行う必要があります。
- [スタート]メニューを開きます。
- powershell.exeと入力して、PowerShellを結果の1つとして表示します。
- 結果を右クリックして[管理者として実行]を選択するか、結果を選択する前にShiftキーとCtrlキーを押したままにします。どちらのオプションも、昇格した権限でPowerShellを実行します。
- 表示される可能性のあるUACプロンプトを確認します。
- 走る setx / M MP_FORCE_USE_SANDBOX 1 。
- Windowsを再起動します。
このコマンドは、サンドボックス機能を備えたWindows Defenderアンチウイルスを実行するようにWindowsに指示する新しいシステム変数を設定します。
サンドボックスが実行されていることを確認するのは簡単です。Ctrl-Shift-EscをタップしてWindowsタスクマネージャーを開き、すべての詳細が表示されていることを確認し(表示されていない場合は詳細をクリック)、プログラムの[詳細]タブを確認します。
そこでMsMpEngCP.exeを見つけます。表示されている場合は、サンドボックスが稼働しています。 Microsoftによると、このプロセスは低い権限で実行され、「利用可能なすべての緩和ポリシー」を使用します。
サードパーティのプログラムを使用できます プロセスエクスプローラのように サンドボックスが有効になっていることを確認したい場合も同様です。
マイクロソフトの研究開発中に直面した実装の詳細と課題については、Microsoft Secureブログのマイクロソフトのブログ投稿をご覧ください。
では、あなた: どのウイルス対策ソリューションを実行していますか?