Windows Defender in der Sandbox

Microsoft hat dem in Windows 10 enthaltenen Windows Defender ein zusätzliches Sicherheitsfeature spendiert. Der Defender kann ab Windows 10 V1703 in einer geschützten Sandbox-Umgebung ausgeführt werden.


Anzeige

Zum Hintergrund: Virenscanner wie der Windows Defender laufen mit Systemrechten. Gibt es Schwachstellen in diesen Modulen, kann Schadsoftware dies ausnutzen und mit Systemrechten quasi alles tun. Microsoft patcht zwar regelmäßig gefundene Schwachstellen im Defender bzw. in der Antimalware Engine. Aber eine Isolierung dieser Komponenten in einer Sandbox ist schon hilfreich.

Zum 26. Oktober 2018 hat Microsoft die neue Funktion im Blog-Beitrag Windows Defender Antivirus can now run in a sandbox vorgestellt. Laut Microsoft hat man mit dem 'Windows Defender Antivirus' einen neuen Meilenstein erreicht. Die integrierten Antivirusfunktionen von Windows 10 können, als erste vollständige Antivirenlösung nun in einem Sandkasten ausgeführt werden.

Warum den Defender sandboxen?

Auch wenn Microsoft versucht, den Defender möglichst sicher gegen Angriffe zu machen, haben Sicherheitsforscher innerhalb und außerhalb von Microsoft Wege gefunden, wie ein Angreifer Schwachstellen in den Inhaltsparsern von Windows Defender Antivirus ausnutzen kann, um eine beliebige Codeausführung zu ermöglichen. Bisher wurden aber keine solchen Angriffe in freier Wildbahn beobachtet.

Die Ausführung von Windows Defender Antivirus in einer Sandbox soll sicherstellen, dass sich böswillige Aktionen im unwahrscheinlichen Fall, dass der Defender kompromittiert wird, auf die isolierte Umgebung beschränken. Damit wäre der Rest des Systems vor Schäden geschützt.


Anzeige

Implementierung der Sandbox

Ein Problem bei Antivirussystemen in einer Sandbox-Umgebung ist die Leistung. Diese darf gegenüber einer Ausführung im Kernel nicht sinken. Man hat daher die Module so aufgeteilt, dass es einen privilegierten Prozess für die Kontrolle und einen in der Sandbox laufenden Prozess zur Analyse von Daten auf Schadfunktionen gibt. Im Blog-Beitrag Windows Defender Antivirus can now run in a sandbox stellt Microsoft die Ansätze vor, wie man diese Herausforderungen gelöst zu haben glaubt.

Die Sandbox für den Defender aktivieren

Microsoft ist einerseits dabei, diese Funktion schrittweise für Windows Insider zu aktivieren und das Feedback kontinuierlich zu analysieren, um die Implementierung zu verfeinern. Mit Windows 10 19H1 wird das Ganze dann wohl im Frühjahr 2019 allgemein freigegeben (wenn nichts dazwischen kommt). Aber ab Windows 10 V1703 können Benutzer bereits den Sandbox-Modus für den Windows Defender aktivieren, indem eine Umgebungsvariable mit:

setx /M MP_FORCE_USE_SANDBOX 1

gesetzt und die Maschine dann neu gestartet wird. Kontrolliert man das anschließend im Task-Manager, sollte ein Content-Prozess MsMpEngCP.exe und der Antimalware-Dienst MsMpEng.exe zu sehen sein.


(Quelle: Microsoft, Zum Vergrößern klicken)

Der Content-Prozess MsMpEngCP.exe läuft dann mit niedriger Priorität in der Sandbox, während der Dienst MsMpEng.exe mit Systemrechten ausgeführt wird. Weitere Details lassen sich im Blog-Beitrag Windows Defender Antivirus can now run in a sandbox nachlesen. Deutschsprachige Beiträge finden sich bei den Kollegen von Dr. Windows und deskmodder.de.

Ergänzung: Es muss wirklich ein Neustart erfolgen, nur Herunterfahren und später starten reicht wohl nicht. Ein Bug verhindert dann das Aktivieren des Defender Sandbox-Modes, wie Bleeping Computer hier berichtet.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.