Windows Defender: Bug kann Sandboxing verhindern

In Windows 10 kann der Windows Defender seit neuestem in einem Sandbox-Mode laufen. Dazu ist in aktuellen Windows 10-Versionen aber ein Neustart erforderlich. Denn ein Bug verhindert ggf. die Aktivierung, wenn man Windows nur herunterfährt und später startet.


Anzeige

Der neue Defender Sandbox-Modus

Microsoft hat dem Windows Defender ab Windows 10 V1703 einen Sandbox-Modus spendiert. Ziel ist es, den Scan-Komponenten einen Angriffsvektor zu entziehen. Letzte Woche hat Microsoft das Ganze in einem Blog-Beitrag beschrieben und auch skizziert, wie man diesen Sandbox-Modus manuell aktiviert. Dazu muss eine Umgebungsvariable mit:

setx /M MP_FORCE_USE_SANDBOX 1

definiert und Windows 10 dann zwingend neu gestartet werden. Ich hatte dies im Blog-Beitrag Windows Defender in der Sandbox thematisiert.

Obacht bei der Aktivierung

Wer auf die Idee kommt, die Umgebungsvariable zu setzen und Windows 10 nur herunterzufahren (um das System später wieder zu starten), erlebt eine Überraschung. Ein Bug verhindert, dass der Sandbox-Modus bei diesem Vorgang aktiviert wird. Ist zwar nur eine 'Fußnote', da Microsoft in seinem Artikel einen Neustart beschrieben hat. Wie Bleeping Computer hier schreibt, ist dieses Verhalten aber jemandem aufgefallen. Dieser beschreibt es so:


Anzeige

"I encountered an issue to activate the sandbox: after creating the system environment variable, I shutdown my machine and then powered it on. This did not enable the sandbox. I had to perform a restart (Start Menu / Power / Restart) for the sandbox to be activated. The same thing happened when I tried to deactivate the sandbox: make sure you perform a restart (literally). This issue was reported to Microsoft, and should be fixed in an upcoming release."

Als Didier Stevens das Problem per Twitter an Microsoft meldete, antworteten sie, dass das Team den Fehler behoben hat und der Fix in einem zukünftigen Engine Update veröffentlicht wird.

Weitere Details lassen sich ggf. bei Bleeping Computer nachlesen. Das Thema ist aber nicht wirklich relevant, da es nur Leute trifft, die mir der Sandbox-Variante experimentieren und diese ein-/ausschalten wollen, ohne den Hinweis Microsofts zum erforderlichen Neustart zu beachten. Spätestens mit der Windows 10 V1903, die nächstes Frühjahr kommt, soll der Sandbox-Modus des Defenders ja automatisch für alle Nutzer kommen.


Anzeige

Dieser Beitrag wurde unter Windows 10 abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Windows Defender: Bug kann Sandboxing verhindern

  1. Bernhard Diener sagt:

    Runterfahren und wieder hochfahren ist etwas anderes als ein Reboot schon seit vielen Jahren. Das nun einen Bug zu nennen… nun ja. Runterfahren ist seit Win8 Kernel Hibernation.

  2. Windoof-User sagt:

    Der Hibernate-Modus hat seit seiner Einführung (Windows XP) niemals fehlerfrei funktioniert und nur Probleme verursacht (Programmabstürze, Datenkorruption, etc.). Abgesehen davon sollte der Hibernate-Modus allein schon aus Sicherheitsgründen immer deaktiviert werden.

    Mit dem folgenden Befehl kann ein Administrator den Hibernate-Modus deaktivieren:
    powercfg.exe /hibernate off

  3. oli sagt:

    Entweder den Ruhezustand komplett deaktivieren (powercfg -h off) oder zumindest den Schnellstart ausschalten (alte Systemsteuerung->Energieoptionen->Auswählen was beim Drücken des Netzschalters…->oben Adminrechte holen->unten "Schnellstart aktivieren" abhaken). Behebt noch so einige andere Probleme.

    Wenn es nicht immer wieder Probleme (z.B. den DHCP-Client Bug im Dez. 2017(?), WakeOnLAN funktioniert nicht, neue Geräte werden nicht erkannt, Monitorauflösungen werden nicht korrekt erkannt) mit dem Schnellstart geben würde, wäre das ja ne feine Sache, vor allem für Leute mit HDDs bringt das enorm viel. Für SSD-Systeme ist der Vorteil allerdings nicht annähernd so groß und da in meinem Umfeld mittlerweile fast alle Rechner SSDs als Systemlaufwerk nutzen, ist der Schnellstart per GPO auch ausgeschaltet.

    Ich glaube ja, dass die MS-Tester den Hybrid-Modus (aka Schnellstart) ebenfalls ausgeschaltet haben, sonst würden doch Probleme mit diesem viel häufiger erkannt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.