Microsoft test sandbox voor Windows Defender

Microsoft voegt een belangrijke update toe aan Windows Defender in de vorm van een sandboxmodus. Die wordt momenteel in bepaalde Insider-builds getest.

De sandboxmodus verhoogt de veiligheid van Windows Defender aanzienlijk. Microsoft besloot om de functie te implementeren nadat security-onderzoekers kwetsbaarheden vonden in de inhoudsparsers van Windows Defender. Dat maakt het uitvoeren van (malafide) code mogelijk.

“Hoewel we geen aanvallen in het wild hebben gezien, nemen we deze rapporten serieus. We hebben onmiddellijk potentiële problemen opgelost en ons eigen onderzoek en testen opgeschroefd”, schrijft Mady Marinescu van het Windows Defender Engineering-team in een blogpost. “Tegelijkertijd hebben we Windows 10 in het algemeen tegen aanvallen blijven verharden.”

Sandbox

Door Windows Defender in een sandbox te gebruiken, kunnen kwetsbaarheden niet langer worden misbruikt om schade aan te brengen in het systeem. De antivirus functioneert volledig afgesloten in een aparte geïsoleerde omgeving. Volgens Microsoft is het de eerste complete antivirusoplossing die volledig in een sandbox kan draaien.

De sandbox-ondersteuning was naar eigen zeggen een lastige onderneming voor de reus uit Redmond. “We moesten de implicaties op prestaties en functionaliteit zorgvuldig bestuderen”, vertelt Marinescu. “Nog belangrijker was dat we gebieden met een hoog risico moesten identificeren en ervoor moesten zorgen dat sandboxing het beveiligingsniveau niet nadelig beïnvloed.”

Zelf activeren

Omwille van die uitdaging rolt Microsoft de functionaliteit geleidelijk aan uit naar Insiders, om eerst zoveel mogelijk feedback te verzamelen. Toch is het ook mogelijk om de sandbox nu al handmatig te activeren.

Gebruikers kunnen de sandbox activeren met het commando setx /M MP_FORCE_USE_SANDBOX 1. Na een herstart is de functie actief, op voorwaarde dat je Windows 10 versie 1703 of nieuwer gebruikt.

Zodra de sandboxing is ingeschakeld, verschijnt een nieuw proces MsMpEngCP.exe naast de antimalware-service MsMpEng.exe.