为强化Windows安全,微软打造了 Windows Defender 沙箱版。

经过安全部门的大量投入,微软开始了将 Windows Defender 移入沙箱的过程。此前,微软内部员工及外部研究人员均发现了攻击者利用 Windows Defender 内容解析器中的漏洞执行任意代码的方法。

但 Windows Defender 工程团队的 Mady Marinescu 和微软内容体验的 Eric Avena 在相关博客文章中均表示,该工程是一项复杂的任务。团队不得不研究性能和功能上的影响,并确认出高危领域以确保沙箱化不会与现有安全措施冲突。

Windows Defender 以高权限执行,扫描系统中的恶意内容,因而成为了网络攻击的主要目标。只要有人成功利用了 Windows Defender 中的漏洞,整个系统都能被接管。微软报告称发现了针对该杀毒工具的攻击,但该公司一直在运用基于硬件的隔离、网络防护、受控文件夹访问等技术受到强化 Windows 10 。

Windows Defender 被放到受限进程执行环境后,攻击者即便成功侵入,也只能受困于该隔离环境内部,无法影响系统的其他部分。

在博客帖子中, Mainescu 和 Avenca 描述了沙箱化过程中他们是如何平衡功能与性能的。比如说,微软不得不考虑一些风险性功能,比如扫描非受信输入和扩展容器,同时还要最少化可被沙箱化和必须以高权限执行的Defender组件之间的交互。

他们解释道,杀毒工具往往同时执行多个进程,于是,性能便成为了沙箱化杀毒工具的一个关键考虑。为缓解风险,该团队必须最少化沙箱进程与高权限进程间的互动数量,并确保这些互动只在不会引发巨大代价的关键时刻执行。

该功能目前对 Windows Insider 用户开放,在即将推出的 Windows 10 版本中测试。如果等不急, Windows 10 version 1703 及以上版本也提供强制启用选项。

据报道,微软目前正在研发 Windows Defender Antivirus 的反篡改防御功能。

微软 Windows Defender 工程团队博客帖子:

https://cloudblogs.microsoft.com/microsoftsecure/2018/10/26/windows-defender-antivirus-can-now-run-in-a-sandbox/

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。