De ingebouwde antivirus van Windows 10 kan nu in een sandbox worden uitgevoerd. Zelfs als een aanvaller de antivirus-engine in gevaar brengt, heeft hij geen toegang tot de rest van het systeem. Zoals Google’s Tavis Ormandy zegt: “dit is spelveranderend.”
Windows Defender is in feite het eerste complete antivirusproduct dat in een sandbox kan worden uitgevoerd. Geen van de betaalde (of gratis) antivirusproducten die u kunt downloaden, beschikt over deze functie.
Dit nieuws is afkomstig van de officiële Microsoft Secure-blog. Zoals Microsoft het stelt:
Beveiligingsonderzoekers van zowel binnen als buiten Microsoft hebben eerder manieren geïdentificeerd waarop een aanvaller kan profiteren van kwetsbaarheden in de inhoudsparsers van Windows Defender Antivirus die het uitvoeren van willekeurige code mogelijk maken. Hoewel we nog geen aanvallen in het wild hebben gezien die zich actief richten op Windows Defender Antivirus, nemen we deze rapporten serieus …
Door Windows Defender Antivirus in een sandbox uit te voeren, zorgt u ervoor dat in het onwaarschijnlijke geval van een compromis, kwaadwillende acties beperkt blijven tot de geïsoleerde omgeving, waardoor de rest van het systeem wordt beschermd tegen schade.
Met andere woorden, het antivirusproces van Windows Defender dat gedownloade bestanden en andere inhoud analyseert, zal met zeer weinig machtigingen worden uitgevoerd. Zelfs als er een bug in het antivirusproces zat en een kwaadwillig vervaardigd bestand erin slaagde om de antivirus zelf in gevaar te brengen, zou dat nu gevaarlijke antivirusproces geen enkele toegang tot de rest van uw systeem bieden. De aanval zou zijn mislukt.
Natuurlijk heeft een antivirusprogramma nog steeds veel toegang tot uw systeem nodig. Maar het belangrijkste antivirusproces dat met veel machtigingen wordt uitgevoerd, analyseert geen bestanden. Het geeft inhoud over aan een sandbox-proces met lage bevoegdheden, dat het vuile en gevaarlijke werk in een beveiligd gebied doet.
De blogpost van Microsoft beschrijft vervolgens hoe deze functie is geïmplementeerd zonder merkbare prestatieverlies:
Prestaties zijn vaak de belangrijkste zorg bij sandboxing, vooral gezien het feit dat antimalwareproducten zich op veel kritieke paden bevinden, zoals het synchroon inspecteren van bestandsbewerkingen en het verwerken en verzamelen of matchen van grote aantallen runtime-gebeurtenissen. Om ervoor te zorgen dat de prestaties niet verslechteren, moesten we het aantal interacties tussen de sandbox en het geprivilegieerde proces minimaliseren, en tegelijkertijd deze interacties alleen uitvoeren op belangrijke momenten waarop de kosten niet significant zouden zijn, bijvoorbeeld wanneer IO wordt uitgevoerd.
Er zijn veel meer details dan dat in de blogpost van Microsoft, dus bekijk het als je geïnteresseerd bent.
Wanneer krijg je het?
Hoewel deze functie opwindend is, is deze nog niet standaard ingeschakeld op Windows 10-systemen. Microsoft zegt dat het deze functie geleidelijk zal inschakelen voor Windows Insiders en zal analyseren hoe het werkt in de echte wereld.
Waarschuwing: Microsoft heeft nog niet genoeg vertrouwen in deze functie om het standaard voor iedereen in te schakelen, dus u kunt bugs tegenkomen nadat u dit hebt ingeschakeld. We hebben het op ons systeem ingeschakeld en alles leek echter goed te werken.
Om deze functie vandaag in te schakelen, start u een opdrachtprompt of PowerShell-venster als beheerder, voert u de volgende opdracht uit en start u uw pc opnieuw op:
setx /M MP_FORCE_USE_SANDBOX 1
Deze opdracht werkt op Windows 10 versie 1703, ook bekend als de Creators Update, en nieuwere versies van Windows 10. Die versie van Windows 10 is uitgebracht in april 2017, dus je pc heeft nu vrijwel zeker die versie of nieuwer.
Als u deze wijziging ongedaan wilt maken, voert u dezelfde opdracht uit, waarbij u de “1” vervangt door een “0”, en start u uw pc opnieuw op. Als je om de een of andere reden problemen hebt met het opstarten van je pc, probeer dan op te starten in de Veilige modus en voer vervolgens de opdracht uit.
Nadat u sandboxing hebt ingeschakeld, ziet u een speciaal inhoudsproces met de naam MsMpEngCP.exe met minder machtigingen naast het standaard antimalwareproces MsMpEng.exe.
We waren ooit behoorlijk kritisch over de antivirus van Microsoft, maar we denken dat de nieuwste versies redelijk goed zijn. We raden u aan Windows Defender te gebruiken om uw pc te beveiligen zonder de upsells en bugs die antivirussoftware van derden met zich meebrengt. En het wordt standaard meegeleverd met Windows 10, dus alle Windows-gebruikers hebben eindelijk een solide antivirusprogramma.
We zouden alleen willen dat de antivirus van Microsoft agressiever was in het standaard blokkeren van crapware.
VERWANT: Wat is de beste antivirus voor Windows 10? (Is Windows Defender goed genoeg?)
Afbeeldingscredits: Gorlov-KV / Shutterstock.com, Microsoft