![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Microsoft hat dem in Windows 10 enthaltenen Windows Defender ein zus\u00e4tzliches Sicherheitsfeature spendiert. Der Defender kann ab Windows 10 V1703 in einer gesch\u00fctzten Sandbox-Umgebung ausgef\u00fchrt werden.<\/p>\nMicrosoft hat dem in Windows 10 enthaltenen Windows Defender ein zus\u00e4tzliches Sicherheitsfeature spendiert. Der Defender kann ab Windows 10 V1703 in einer gesch\u00fctzten Sandbox-Umgebung ausgef\u00fchrt werden.<\/p>\n
<\/p>\n
Zum Hintergrund: Virenscanner wie der Windows Defender laufen mit Systemrechten. Gibt es Schwachstellen in diesen Modulen, kann Schadsoftware dies ausnutzen und mit Systemrechten quasi alles tun. Microsoft patcht zwar regelm\u00e4\u00dfig gefundene Schwachstellen im Defender bzw. in der Antimalware Engine. Aber eine Isolierung dieser Komponenten in einer Sandbox ist schon hilfreich.<\/p>\n
Zum 26. Oktober 2018 hat Microsoft die neue Funktion im Blog-Beitrag Windows Defender Antivirus can now run in a sandbox<\/a> vorgestellt. Laut Microsoft hat man mit dem 'Windows Defender Antivirus' einen neuen Meilenstein erreicht. Die integrierten Antivirusfunktionen von Windows 10 k\u00f6nnen, als erste vollst\u00e4ndige Antivirenl\u00f6sung nun in einem Sandkasten ausgef\u00fchrt werden.<\/p>\n Auch wenn Microsoft versucht, den Defender m\u00f6glichst sicher gegen Angriffe zu machen, haben Sicherheitsforscher innerhalb und au\u00dferhalb von Microsoft Wege gefunden, wie ein Angreifer Schwachstellen in den Inhaltsparsern von Windows Defender Antivirus ausnutzen kann, um eine beliebige Codeausf\u00fchrung zu erm\u00f6glichen. Bisher wurden aber keine solchen Angriffe in freier Wildbahn beobachtet.<\/p>\n Die Ausf\u00fchrung von Windows Defender Antivirus in einer Sandbox soll sicherstellen, dass sich b\u00f6swillige Aktionen im unwahrscheinlichen Fall, dass der Defender kompromittiert wird, auf die isolierte Umgebung beschr\u00e4nken. Damit w\u00e4re der Rest des Systems vor Sch\u00e4den gesch\u00fctzt.<\/p>\n Ein Problem bei Antivirussystemen in einer Sandbox-Umgebung ist die Leistung. Diese darf gegen\u00fcber einer Ausf\u00fchrung im Kernel nicht sinken. Man hat daher die Module so aufgeteilt, dass es einen privilegierten Prozess f\u00fcr die Kontrolle und einen in der Sandbox laufenden Prozess zur Analyse von Daten auf Schadfunktionen gibt. Im Blog-Beitrag Windows Defender Antivirus can now run in a sandbox<\/a> stellt Microsoft die Ans\u00e4tze vor, wie man diese Herausforderungen gel\u00f6st zu haben glaubt.<\/p>\n Microsoft ist einerseits dabei, diese Funktion schrittweise f\u00fcr Windows Insider zu aktivieren und das Feedback kontinuierlich zu analysieren, um die Implementierung zu verfeinern. Mit Windows 10 19H1 wird das Ganze dann wohl im Fr\u00fchjahr 2019 allgemein freigegeben (wenn nichts dazwischen kommt). Aber ab Windows 10 V1703 k\u00f6nnen Benutzer bereits den Sandbox-Modus f\u00fcr den Windows Defender aktivieren, indem eine Umgebungsvariable mit:<\/p>\n setx \/M MP_FORCE_USE_SANDBOX 1<\/em><\/p>\n gesetzt und die Maschine dann neu gestartet wird. Kontrolliert man das anschlie\u00dfend im Task-Manager, sollte ein Content-Prozess\u00a0MsMpEngCP.exe<\/em> und der Antimalware-Dienst MsMpEng.exe <\/em>zu sehen sein.<\/p>\n Der Content-Prozess MsMpEngCP.exe<\/em> l\u00e4uft dann mit niedriger Priorit\u00e4t in der Sandbox, w\u00e4hrend der Dienst MsMpEng.exe <\/em>mit Systemrechten ausgef\u00fchrt wird. Weitere Details lassen sich im Blog-Beitrag Windows Defender Antivirus can now run in a sandbox<\/a> nachlesen. Deutschsprachige Beitr\u00e4ge finden sich bei den Kollegen von Dr. Windows<\/a> und deskmodder.de<\/a>.<\/p>\n Erg\u00e4nzung:<\/strong> Es muss wirklich ein Neustart erfolgen, nur Herunterfahren und sp\u00e4ter starten reicht wohl nicht. Ein Bug verhindert dann das Aktivieren des Defender Sandbox-Modes, wie Bleeping Computer hier berichtet<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Microsoft hat dem in Windows 10 enthaltenen Windows Defender ein zus\u00e4tzliches Sicherheitsfeature spendiert. Der Defender kann ab Windows 10 V1703 in einer gesch\u00fctzten Sandbox-Umgebung ausgef\u00fchrt werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,3694],"tags":[4328,2400],"class_list":["post-211063","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows-10","tag-sicherheit","tag-windows-defender"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211063","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211063"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211063\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211063"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211063"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211063"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Warum den Defender sandboxen?<\/h2>\n
Implementierung der Sandbox<\/h2>\n
Die Sandbox f\u00fcr den Defender aktivieren<\/h2>\n
![\"\"](\"https:\/\/web.archive.org\/web\/20220224173544\/https:\/\/cloudblogs.microsoft.com\/uploads\/prod\/sites\/13\/2018\/10\/windows-defender-av-sandbox.png\")
<\/a>
\n(Quelle: Microsoft, Zum Vergr\u00f6\u00dfern klicken)<\/p>\n