那些仍然认为 Windows 防病毒软件落后于其他人的人必须尽快改变主意。自 Windows 10 推出以来,Microsoft 开发人员做了出色的工作来丰富他们的安全解决方案,并将其置于与该领域其他解决方案相同的水平。
这家雷德蒙德公司现在已经达到了一个新的里程碑,推出了它第一个开发的功能:在沙箱中执行防病毒引擎。这一创新立即引起了安全专家的钦佩,尤其是谷歌零项目专家塔维斯·奥曼迪(Tavis Ormandy),他过去已经发现了 Windows Defender 的重大缺陷。
哇,这太棒了。恭喜团队,这正在改变游戏规则。https://t.co/FI76ZjYhp4
— 塔维斯·奥曼迪 (@taviso)2018 年 10 月 26 日
沙箱是一种安全设备,它将进程限制在给定的执行环境中,并将与系统其余部分的交换限制在最低限度。这样,如果相关进程感染了恶意软件,它将无法在整个计算机中传播。将这一原理应用于防病毒软件特别有趣,因为此类软件具有最高的访问权限,能够执行其检测工作。因此,设法利用 Windows Defender 中的缺陷的黑客将立即获得对该系统的完全访问权限。这是头奖。
但是,我们如何限制软件才能正常运行,需要能够访问所有内容呢?微软找到的解决方案是将其检测引擎分成两个进程。第一个总是具有更高的访问权限,使其能够搜索计算机的每个角落。但它不会进行任何高风险分析,例如打开档案或检查二进制文件。这些事情现在将由第二个进程处理,该进程将从其同事接收数据。 “通过这一新的开发,Windows Defender 防病毒软件成为第一个具备此功能的完整防病毒解决方案”,Windows Defender 工程师在欢迎辞中说道。博客文章。
可以手动激活的 Beta 功能
该架构的主要困难是保持良好的性能水平。从本质上讲,防病毒软件已经消耗了大量的内存和 CPU。分成两个进程必然会使交换变得复杂并降低执行速度。 “Windows Defender 防病毒软件致力于以协调的方式避免不必要的 I/O。例如,为了保持良好的性能,必须最大限度地减少每个检查文件的读取数据量,特别是在较旧的硬件上,”工程师指出。
目前,Windows Defender 沙箱仅在 Windows 10 Insider 版本中运行。不过,自版本 1703 起,其代码已集成到 Windows 10 最终版本中。可以随时激活它。为此,您必须打开“开始”菜单,搜索“cmd.exe”,右键单击“命令提示符”,选择“以管理员身份运行”,然后键入并验证以下行: setx / M MP_FORCE_USE_SANDBOX 1. 您必须然后重新启动计算机。显然,此激活的风险由您自行承担。目前,沙箱仍然是测试版功能,如有必要,它可能会导致您的计算机崩溃。
