那些仍然認為 Windows 防毒軟體落後於其他人的人必須盡快改變主意。自 Windows 10 推出以來,Microsoft 開發人員做了出色的工作來豐富他們的安全解決方案,並將其置於與該領域其他解決方案相同的水平。
這家雷德蒙公司現在已經達到了一個新的里程碑,並推出了它第一個開發的功能:在沙箱中執行防毒引擎。這項創新立即引起了安全專家的欽佩,尤其是谷歌零專案專家塔維斯·奧曼迪(Tavis Ormandy),他過去已經發現了 Windows Defender 的重大缺陷。
哇,這太棒了。恭喜團隊,這正在改變遊戲規則。https://t.co/FI76ZjYhp4
— 塔維斯‧奧曼迪 (@taviso)2018 年 10 月 26 日
沙箱是一種安全設備,它將進程限制在給定的執行環境中,並將與系統其餘部分的交換限制在最低限度。這樣,如果相關進程感染了惡意軟體,它將無法在整台電腦中傳播。將此原理應用於防毒軟體特別有趣,因為此類軟體具有最高的存取權限,能夠執行其檢測工作。因此,設法利用 Windows Defender 中的缺陷的駭客將立即獲得對該系統的完全存取權。這是頭獎。
但是,我們如何限制軟體才能正常運行,需要能夠存取所有內容?微軟找到的解決方案是將其偵測引擎分成兩個進程。第一個總是具有更高的訪問權限,使其能夠搜尋電腦的每個角落。但它不會進行任何高風險分析,例如開啟檔案或檢查二進位檔案。這些事情現在將由第二個進程處理,該進程將從其同事接收資料。 “透過這項新的開發,Windows Defender 防毒軟體成為第一個具備此功能的完整防毒解決方案”,Windows Defender 工程師在歡迎辭中說道。部落格文章。
可以手動啟用的 Beta 功能
此架構的主要困難是保持良好的效能水準。從本質上講,防毒軟體已經消耗了大量的記憶體和 CPU。分成兩個流程必然會使交換變得複雜並降低執行速度。 「Windows Defender 防毒軟體致力於以協調的方式避免不必要的 I/O。例如,為了保持良好的效能,必須最大限度地減少每個檢查檔案的讀取資料量,特別是在較舊的硬體上,」工程師指出。
目前,Windows Defender 沙箱僅在 Windows 10 Insider 版本中運行。為此,您必須打開“開始”選單,搜尋“cmd.exe”,右鍵單擊“命令提示字元”,選擇“以管理員身份運行”,然後鍵入並驗證以下行: setx / M MP_FORCE_USE_SANDBOX 1. 您必須然後重新啟動計算機。顯然,此啟動的風險由您自行承擔。目前,沙箱仍然是測試版功能,如有必要,它可能會導致您的電腦崩潰。
