Windows Defender 实现安全沙箱模式运行功能

WindowsDefender是Windows内置的反恶意软件工具，它实现了以安全沙箱模式运行的能力。

这些机制允许在与操作系统和其他应用程序隔离的安全环境中引爆应用程序。这意味着即使应用程序受到威胁，如果它没有实现沙箱转义机制，也不会影响整个系统。

由于防病毒和反恶意软件工具以最高级别的权限运行以扫描计算机的所有部分以查找恶意代码，因此它已成为攻击者的理想目标。

这可能是针对防病毒解决方案实施的沙盒机制的第一种情况，该解决方案旨在保护Windows系统（如果它受到危害）。
在过去，流行的防病毒解决方案（即ESET，赛门铁克，AVG，McAffee，卡巴斯基，MalwareBytes）中发现了一些漏洞，这些漏洞可能被利用来破坏主机。

Microsoft决定实施其他安全措施，将沙箱模式引入WindowsDefender。

专家指出，在WindowsDefender中实施沙盒并不仅仅是因为可能对系统性能产生影响。

微软内部和外部的安全研究人员之前已经确定了攻击者可以利用WindowsDefenderAntivirus内容解析器漏洞的方法，这些漏洞可以实现任意代码执行。微软在博客文章中说。

在沙箱中运行WindowsDefenderAntivirus可确保在不太可能的情况下进行妥协，恶意行为仅限于隔离环境，从而保护系统的其他部分免受伤害。

受欢迎的GoogleProjectZero白帽黑客TavisOrmandy称赞微软选择获得安全沙盒模式。

目前，在Windows10（版本1703或更高版本）上运行的WindowsDefender支持沙盒机制，但用户必须明确启用它。

逐步部署此功能的能力是另一个重要的设计目标。因为我们将在广泛的硬件和软件配置上启用此功能，所以我们的目标是在运行时能够决定是否以及何时启用沙盒。这意味着整个内容扫描逻辑可以在进程内和进程外工作，并且不能对高权限运行做出任何假设。继续微软。

用户还可以通过设置机器范围的环境变量（setx/MMP_FORCE_USE_SANDBOX1）并重新启动计算机来强制启用沙盒实现。Windows10，版本1703或更高版本目前支持此功能。

要启用该功能，请使用以下过程：

以管理员身份运行CMD。

键入：setx/MMP_FORCE_USE_SANDBOX1，然后按ENTER键

然后重新启动计算机。