{"id":211311,"date":"2018-11-02T09:42:47","date_gmt":"2018-11-02T08:42:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=211311"},"modified":"2023-10-17T00:13:40","modified_gmt":"2023-10-16T22:13:40","slug":"windows-defender-bug-kann-sandboxing-verhindern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/11\/02\/windows-defender-bug-kann-sandboxing-verhindern\/","title":{"rendered":"Windows Defender: Bug kann Sandboxing verhindern"},"content":{"rendered":"

In Windows 10 kann der Windows Defender seit neuestem in einem Sandbox-Mode laufen. Dazu ist in aktuellen Windows 10-Versionen aber ein Neustart erforderlich. Denn ein Bug verhindert ggf. die Aktivierung, wenn man Windows nur herunterf\u00e4hrt und sp\u00e4ter startet.<\/p>\n

<\/p>\n

Der neue Defender Sandbox-Modus<\/h2>\n

\"\"Microsoft hat dem Windows Defender ab Windows 10 V1703 einen Sandbox-Modus spendiert. Ziel ist es, den Scan-Komponenten einen Angriffsvektor zu entziehen. Letzte Woche hat Microsoft das Ganze in einem Blog-Beitrag beschrieben und auch skizziert, wie man diesen Sandbox-Modus manuell aktiviert. Dazu muss eine Umgebungsvariable mit:<\/p>\n

setx \/M MP_FORCE_USE_SANDBOX 1<\/em><\/p>\n

definiert und Windows 10 dann zwingend neu gestartet werden. Ich hatte dies im Blog-Beitrag Windows Defender in der Sandbox<\/a> thematisiert.<\/p>\n

Obacht bei der Aktivierung<\/h2>\n

Wer auf die Idee kommt, die Umgebungsvariable zu setzen und Windows 10 nur herunterzufahren (um das System sp\u00e4ter wieder zu starten), erlebt eine \u00dcberraschung. Ein Bug verhindert, dass der Sandbox-Modus bei diesem Vorgang aktiviert wird. Ist zwar nur eine 'Fu\u00dfnote', da Microsoft in seinem Artikel einen Neustart beschrieben hat. Wie Bleeping Computer hier schreibt<\/a>, ist dieses Verhalten aber jemandem aufgefallen. Dieser beschreibt es so:<\/p>\n

\"I encountered an issue to activate the sandbox: after creating the system environment variable, I shutdown my machine and then powered it on. This did not enable the sandbox. I had to perform a restart (Start Menu \/ Power \/ Restart) for the sandbox to be activated. The same thing happened when I tried to deactivate the sandbox: make sure you perform a restart (literally). This issue was reported to Microsoft, and should be fixed in an upcoming release.\"<\/p><\/blockquote>\n

Als Didier Stevens<\/a> das Problem per Twitter an Microsoft meldete, antworteten sie, dass das Team den Fehler behoben hat und der Fix in einem zuk\u00fcnftigen Engine Update ver\u00f6ffentlicht wird.<\/p>\n

\n

OK, can reproduce systematically now. 1) WD is sandboxed, set env var to 0, shutdown, power on, WD is still sandboxed. 2) WD is sandboxed, set env var to 0, restart, WD is not sandboxed. Happens only with first shutdown\/power on, not with a restart.<\/p>\n

\u2014 Didier Stevens (@DidierStevens) 30. Oktober 2018<\/a><\/p><\/blockquote>\n