Microsoft ha implementado recientemente una nueva funcionalidad en Windows Defender Antivirus para Windows 10 que hace que la solución antivirus se ejecute en una caja de arena del sistema.
La característica, que está disponible en Windows 10 versión 1703 y posteriores, necesita estar activada por el momento, ya que no está activa de forma predeterminada.
Microsoft espera que el nuevo entorno de ejecución de procesos restrictivos de Windows Defender Antivirus ayude a proteger la aplicación contra los ataques que se dirigen directamente a ella. Las soluciones antivirus a menudo necesitan ejecutarse con altos privilegios para proteger todo el sistema contra ataques maliciosos; la necesidad de ejecutarse con altos privilegios hace que los programas antivirus sean objetivos de alto perfil, especialmente si se utilizan ampliamente.
Microsoft declaró que no es consciente de los ataques dirigidos “in-the-wild” contra Windows Defender Antivirus, pero que los investigadores de seguridad identificaron formas de atacar a Windows Defender Antivirus con éxito en el pasado.
Un entorno de caja de arena añade otra capa de protección a la solución antivirus. El malware que pretende explotar Windows Defender Antivirus con éxito tendría que explotar una vulnerabilidad en la propia aplicación y encontrar una forma de salir del entorno de caja de arena que Microsoft creó para el software de seguridad.
La ejecución de Windows Defender Antivirus en una caja de arena garantiza que, en el improbable caso de que se produzca un compromiso, las acciones maliciosas se limiten al entorno aislado, protegiendo al resto del sistema de cualquier daño.
Habilitar el Sandboxing de Windows Defender Antivirus
El entorno de pruebas no está habilitado de forma predeterminada en el momento de escribir este documento. Sin embargo, está disponible en todos los dispositivos que ejecutan Windows 10 versión 1703 o superior.
Consejo : si no está seguro sobre la versión para Windows, ejecute winver.exe en Start para mostrarlo.
Esto es lo que necesita hacer para habilitar el Sandboxing de Windows Defender Antivirus en este momento:
- Abra el menú Inicio.
- Escriba powershell.exe para mostrar PowerShell como uno de los resultados.
- Haga clic con el botón derecho en el resultado y seleccione “Ejecutar como administrador” o mantenga pulsada la tecla Mayúsculas y la tecla Ctrl antes de seleccionar el resultado. Ambas opciones ejecutan PowerShell con derechos elevados.
- Confirme la solicitud de UAC que se puede mostrar.
- Ejecutar setx /M MP_FORCE_USE_SANDBOX 1 .
- Reinicie Windows.
El comando establece una nueva variable de sistema que le indica a Windows que ejecute Windows Defender Antivirus con funcionalidad de caja de arena.
Verificar que la caja de arena se está ejecutando es simple: abra el Administrador de tareas de Windows con un toque en Ctrl-Mayúsculas-Esc y asegúrese de que muestra todos los detalles (haga clic en más detalles si no es así), y mire en la pestaña Detalles del programa.
Localice MsMpEngCP.exe allí. Si lo ves, la caja de arena está lista y funcionando. El proceso se ejecuta con privilegios bajos y utiliza “todas las políticas de mitigación disponibles” según Microsoft.
También puede utilizar programas de terceros como el Explorador de procesos si prefiere que verifiquen que el entorno de pruebas esté habilitado.
Consulte la entrada del blog de Microsoft en el blog de Microsoft Secure para conocer los detalles de la implementación y los desafíos a los que Microsoft se enfrentó durante la investigación y el desarrollo.
Ahora tú: ¿Qué solución antivirus