تشغيل برنامج الحماية من الفيروسات Microsoft Defender في بيئة الاختبار المعزولة
ينطبق على:
- Microsoft Defender XDR
- Defender for Endpoint الخطة 2
- Microsoft Defender for Business
- الخطة 1 من Microsoft Defender لنقطة النهاية
- برنامج الحماية من الفيروسات من Microsoft Defender
منصات:
- بالنسبة لنظام التشغيل
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
توضح هذه المقالة كيفية تشغيل برنامج الحماية من الفيروسات Microsoft Defender في بيئة الاختبار المعزولة لتحسين الحماية من العبث.
يمكن تشغيل Microsoft Defender Antivirus مع إمكانات مكافحة الفيروسات المضمنة داخل بيئة الاختبار المعزولة على Windows اعتبارا من 26 أكتوبر 2018. كان أول حل كامل للحماية من الفيروسات لديه هذه الإمكانية ويستمر في قيادة الصناعة في رفع مستوى الأمان.
قبل البدء، يجب عليك تلبية المتطلبات التالية:
- برنامج الحماية من الفيروسات Microsoft Defender (الوضع النشط)
- Windows 11 أو Windows 10 الإصدار 1703 أو أحدث
- Windows Server 2022 أو Windows Server 2019 أو Windows Server 2016 أو أحدث
سبق أن حدد باحثو الأمان، داخل Microsoft وخارجها، طرقا يمكن للمهاجم الاستفادة من الثغرات الأمنية في محللات محتوى برنامج الحماية من الفيروسات Microsoft Defender التي يمكن أن تمكن تنفيذ التعليمات البرمجية العشوائي. لفحص النظام بأكمله بحثا عن المحتوى والبيانات الاصطناعية الضارة، يتم تشغيل برنامج مكافحة الفيروسات بامتيازات عالية (النظام المحلي، NT Authority\SYSTEM)، ما يجعله هدفا للهجمات.
في حين أن تصعيد الامتياز من بيئة الاختبار المعزولة صعب للغاية على أحدث إصدارات Windows 10 أو أحدث، ويضمن تشغيل برنامج الحماية من الفيروسات Microsoft Defender في بيئة الاختبار المعزولة أنه في حالة حدوث اختراق غير محتمل، تقتصر الإجراءات الضارة على البيئة المعزولة، ما يحمي بقية النظام من الضرر. يعد هذا جزءا من استثمارات Microsoft المستمرة للبقاء متقدما على المهاجمين من خلال ابتكارات الأمان.
تقوم منتجات مكافحة البرامج الضارة الحديثة بفحص العديد من المدخلات، على سبيل المثال، الملفات الموجودة على القرص وتدفقات البيانات في الذاكرة والأحداث السلوكية في الوقت الحقيقي. تتطلب العديد من هذه الإمكانات الوصول الكامل إلى الموارد المعنية. كان أول جهد رئيسي لبيئة الاختبار المعزولة مرتبطا بالطبقات Microsoft Defender قدرات فحص برنامج الحماية من الفيروسات في المكونات التي يجب تشغيلها بامتيازات كاملة والمكونات التي يمكن وضع آلية تحديد الوصول إليها. كان الهدف من المكونات المعزولة هو التأكد من أنها تشمل أعلى وظائف المخاطر مثل فحص الإدخال غير الموثوق به، وتوسيع الحاويات، وما إلى ذلك. في الوقت نفسه، كان علينا تقليل عدد التفاعلات بين الطبقتين من أجل تجنب تكلفة أداء كبيرة.
استخدام الموارد هو أيضا مشكلة أخرى تتطلب استثمارات كبيرة، تحتاج كل من العملية المتميزة وعملية بيئة الاختبار المعزولة إلى الوصول إلى تحديثات Security Intelligence، والكشفات الأخرى وبيانات تعريف المعالجة. لتجنب التكرار والحفاظ على ضمانات أمان قوية لتجنب الطرق غير الآمنة لمشاركة الحالة أو لتقديم تكلفة وقت تشغيل كبيرة لتمرير البيانات/المحتوى بين العمليات، نستخدم نموذجا حيث تتم استضافة معظم بيانات الحماية في الملفات المعينة بالذاكرة والتي تكون للقراءة فقط في وقت التشغيل. وهذا يعني أنه يمكن استضافة بيانات الحماية في عمليات متعددة دون أي نفقات إضافية.
يمكنك اتباع هذه الخطوات لتمكين بيئة الاختبار المعزولة عن طريق تعيين متغير بيئة على مستوى الجهاز:
قم بتشغيل الأمر التالي كمسؤول في PowerShell أو CMD:
setx /M MP_FORCE_USE_SANDBOX 1
أعد تشغيل الجهاز. بمجرد إعادة التشغيل، سترى عملية جديدة إلى جانب MsMpEng.exe الموجودة
MsMpEngCP.exe
في المجلدات التالية:مسار عمليه الوصف C:\ProgramData\Microsoft\Windows Defender\Scans MsMpEngCP.exe عملية المحتوى القابل للتنفيذ لخدمة مكافحة البرامج الضارة C:\Users\All Users\Microsoft\Windows Defender\Scans MsMpEngCP.exe عملية المحتوى القابل للتنفيذ لخدمة مكافحة البرامج الضارة ملاحظة
CP in
MsMpEngCP.exe
هو عملية المحتوى.
لتعطيل وضع الحماية من الفيروسات Microsoft Defender، قم بتشغيل الأمر التالي كمسؤول في PowerShell أو CMD:
setx /M MP_FORCE_USE_SANDBOX 0
يقوم برنامج الحماية من الفيروسات Microsoft Defender بإجراء احتياطي في proc يستضيف فحص المحتوى في العملية المميزة/الأصل لتوفير الحماية.
تستخدم عمليات المحتوى، التي تعمل بامتيازات منخفضة، أيضا بقوة جميع نهج التخفيف المتاحة لتقليل الهجوم السطحي. وهي تمكن وتمنع تغييرات وقت التشغيل لتقنيات التخفيف من الهجمات الحديثة مثل منع تنفيذ البيانات (DEP) والعشوائية لتخطيط مساحة العنوان (ASLR) و Control Flow Guard (CFG). كما أنها تعطل استدعاءات نظام Win32K وجميع نقاط القابلية للتوسعة، بالإضافة إلى فرض تحميل التعليمات البرمجية الموقعة والموثوق بها فقط.
أداء MDAV مع تمكين بيئة الاختبار المعزولة
غالبا ما يكون الأداء هو الشاغل الرئيسي الذي يثيره تحديد بيئة الاختبار المعزولة، خاصة بالنظر إلى أن منتجات مكافحة البرامج الضارة موجودة في العديد من المسارات الهامة مثل فحص عمليات الملفات بشكل متزامن ومعالجتها وتجميعها أو مطابقة أعداد كبيرة من أحداث وقت التشغيل. للتأكد من أن الأداء لا يتدهور، كان علينا تقليل عدد التفاعلات بين بيئة الاختبار المعزولة والعملية المميزة. في الوقت نفسه، قم بإجراء هذه التفاعلات فقط في لحظات رئيسية حيث لن تكون تكلفتها كبيرة، على سبيل المثال، عند تنفيذ الإدخال/الإخراج.
Microsoft Defender يقوم برنامج مكافحة الفيروسات بجهد منسق لتجنب الإدخال/الإخراج غير الضروري، على سبيل المثال، يعد تقليل كمية البيانات المقروءة لكل ملف تم فحصه أمرا بالغ الأهمية في الحفاظ على الأداء الجيد، خاصة على الأجهزة القديمة (القرص التدويري، الموارد البعيدة). وبالتالي، كان من الضروري الحفاظ على نموذج حيث يمكن لبيئة الاختبار المعزولة طلب البيانات للفحص حسب الحاجة، بدلا من تمرير المحتوى بأكمله.
موثوقية MDAV مع تمكين بيئة الاختبار المعزولة
ملاحظة
تمرير المقابض إلى بيئة الاختبار المعزولة (لتجنب تكلفة تمرير المحتوى الفعلي) ليس خيارا لأن هناك العديد من السيناريوهات، مثل الفحص في الوقت الحقيقي وAMSI وما إلى ذلك، حيث لا يوجد مقبض "قابل للمشاركة" يمكن استخدامه بواسطة بيئة الاختبار المعزولة دون منح امتيازات كبيرة، ما يقلل من الأمان.
وثمة قلق كبير آخر يتعلق ببيئة الاختبار المعزولة يتعلق بآلية الاتصال بين العمليات لتجنب المشاكل المحتملة مثل حالات التوقف التام وانعكاسات الأولوية. يجب ألا يؤدي الاتصال إلى أي ازدحام محتمل، إما عن طريق تقييد المتصل أو عن طريق الحد من عدد الطلبات المتزامنة التي يمكن معالجتها. علاوة على ذلك، يجب ألا تؤدي عملية بيئة الاختبار المعزولة إلى تشغيل عمليات الفحص في حد ذاتها. يجب أن تحدث جميع عمليات الفحص دون تشغيل المزيد من عمليات الفحص. يتطلب هذا التحكم الكامل في قدرات بيئة الاختبار المعزولة والتأكد من عدم إمكانية تشغيل أي عمليات غير متوقعة. تعد AppContainers ذات الامتيازات المنخفضة الطريقة المثالية لتنفيذ ضمانات قوية لأن النموذج المستند إلى القدرات سيسمح بالتحكم الدقيق في تحديد ما يمكن أن تفعله عملية بيئة الاختبار المعزولة.
معالجة MDAV مع تمكين بيئة الاختبار المعزولة
وأخيرا، هناك تحد كبير من منظور الأمان يتعلق بالمعالجة أو التطهير للمحتوى. نظرا للطبيعة الحساسة للإجراء (محاولات استعادة ثنائي إلى محتوى الاختبار المسبق الأصلي)، كنا بحاجة إلى التأكد من أن هذا يحدث بامتيازات عالية من أجل التخفيف من الحالات التي يمكن فيها اختراق عملية المحتوى (بيئة الاختبار المعزولة) ويمكن استخدام التطهير لتعديل الثنائي المكتشف بطرق غير متوقعة.
اجمع سجلات تشخيص الدعم وأي معلومات تفريغ/تعطل ذات صلة إذا كانت هناك أحداث إعداد تقرير بالأخطاء في Windows (WER) مقترنة في وقت توقف العملية.