首款在沙箱中運行的全功能殺軟工具:Windows Defender
責編:gltian |2018-11-05 13:12:06沙箱版目前對 Windows Insider 用戶開放,Windows 10 version 1703 及以上版本也可以強制開啟。
為強化Windows安全,微軟打造了 Windows Defender 沙箱版。
經過安全部門的大量投入,微軟開始了將 Windows Defender 移入沙箱的過程。此前,微軟內部員工及外部研究人員均發現了攻擊者利用 Windows Defender 內容解析器中的漏洞執行任意代碼的方法。
但 Windows Defender 工程團隊的 Mady Marinescu 和微軟內容體驗的 Eric Avena 在相關博客文章中均表示,該工程是一項復雜的任務。團隊不得不研究性能和功能上的影響,并確認出高危領域以確保沙箱化不會與現有安全措施沖突。
Windows Defender 以高權限執行,掃描系統中的惡意內容,因而成為了網絡攻擊的主要目標。只要有人成功利用了 Windows Defender 中的漏洞,整個系統都能被接管。微軟報告稱發現了針對該殺毒工具的攻擊,但該公司一直在運用基于硬件的隔離、網絡防護、受控文件夾訪問等技術受到強化 Windows 10 。
Windows Defender 被放到受限進程執行環境后,攻擊者即便成功侵入,也只能受困于該隔離環境內部,無法影響系統的其他部分。
在博客帖子中, Mainescu 和 Avenca 描述了沙箱化過程中他們是如何平衡功能與性能的。比如說,微軟不得不考慮一些風險性功能,比如掃描非受信輸入和擴展容器,同時還要最少化可被沙箱化和必須以高權限執行的Defender組件之間的交互。
他們解釋道,殺毒工具往往同時執行多個進程,于是,性能便成為了沙箱化殺毒工具的一個關鍵考慮。為緩解風險,該團隊必須最少化沙箱進程與高權限進程間的互動數量,并確保這些互動只在不會引發巨大代價的關鍵時刻執行。
該功能目前對 Windows Insider 用戶開放,在即將推出的 Windows 10 版本中測試。如果等不急, Windows 10 version 1703 及以上版本也提供強制啟用選項。
據報道,微軟目前正在研發 Windows Defender Antivirus 的反篡改防御功能。
微軟 Windows Defender 工程團隊博客帖子: