当前位置:新闻动态 \ 行业动态
首款在沙箱中运行的全功能杀软工具:Windows Defender
新闻来源:安全牛
发布人:计算机安全协会
点击率:39
发布日期:2018.11.05

沙箱版目前对 Windows Insider 用户开放,Windows 10 version 1703 及以上版本也可以强制开启。

1.jpg

为强化Windows安全,微软打造了 Windows Defender 沙箱版。

经过安全部门的大量投入,微软开始了将 Windows Defender 移入沙箱的过程。此前,微软内部员工及外部研究人员均发现了攻击者利用 Windows Defender 内容解析器中的漏洞执行任意代码的方法。

但 Windows Defender 工程团队的 Mady Marinescu 和微软内容体验的 Eric Avena 在相关博客文章中均表示,该工程是一项复杂的任务。团队不得不研究性能和功能上的影响,并确认出高危领域以确保沙箱化不会与现有安全措施冲突。

Windows Defender 以高权限执行,扫描系统中的恶意内容,因而成为了网络攻击的主要目标。只要有人成功利用了 Windows Defender 中的漏洞,整个系统都能被接管。微软报告称发现了针对该杀毒工具的攻击,但该公司一直在运用基于硬件的隔离、网络防护、受控文件夹访问等技术受到强化 Windows 10 。

Windows Defender 被放到受限进程执行环境后,攻击者即便成功侵入,也只能受困于该隔离环境内部,无法影响系统的其他部分。

在博客帖子中, Mainescu 和 Avenca 描述了沙箱化过程中他们是如何平衡功能与性能的。比如说,微软不得不考虑一些风险性功能,比如扫描非受信输入和扩展容器,同时还要最少化可被沙箱化和必须以高权限执行的Defender组件之间的交互。

他们解释道,杀毒工具往往同时执行多个进程,于是,性能便成为了沙箱化杀毒工具的一个关键考虑。为缓解风险,该团队必须最少化沙箱进程与高权限进程间的互动数量,并确保这些互动只在不会引发巨大代价的关键时刻执行。

该功能目前对 Windows Insider 用户开放,在即将推出的 Windows 10 版本中测试。如果等不急, Windows 10 version 1703 及以上版本也提供强制启用选项。

据报道,微软目前正在研发 Windows Defender Antivirus 的反篡改防御功能。

微软 Windows Defender 工程团队博客帖子:

https://cloudblogs.microsoft.com/microsoftsecure/2018/10/26/windows-defender-antivirus-can-now-run-in-a-sandbox/

 

 

上一篇:朝鲜互联网流量分析揭示国家级犯罪集团
下一篇:躲过GDPR:剑桥分析事件Facebook被罚50万英镑
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com