اقرأ باللغة الإنجليزية

مشاركة عبر


تشغيل برنامج الحماية من الفيروسات Microsoft Defender في بيئة الاختبار المعزولة

ينطبق على:

منصات:

  • بالنسبة لنظام التشغيل

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

توضح هذه المقالة كيفية تشغيل برنامج الحماية من الفيروسات Microsoft Defender في بيئة الاختبار المعزولة لتحسين الحماية من العبث.

يمكن تشغيل Microsoft Defender Antivirus مع إمكانات مكافحة الفيروسات المضمنة داخل بيئة الاختبار المعزولة على Windows اعتبارا من 26 أكتوبر 2018. كان أول حل كامل للحماية من الفيروسات لديه هذه الإمكانية ويستمر في قيادة الصناعة في رفع مستوى الأمان.

المتطلبات الأساسية

قبل البدء، يجب عليك تلبية المتطلبات التالية:

  • برنامج الحماية من الفيروسات Microsoft Defender (الوضع النشط)
  • Windows 11 أو Windows 10 الإصدار 1703 أو أحدث
  • Windows Server 2022 أو Windows Server 2019 أو Windows Server 2016 أو أحدث

لماذا يتم تشغيل برنامج الحماية من الفيروسات Microsoft Defender في بيئة الاختبار المعزولة؟

سبق أن حدد باحثو الأمان، داخل Microsoft وخارجها، طرقا يمكن للمهاجم الاستفادة من الثغرات الأمنية في محللات محتوى برنامج الحماية من الفيروسات Microsoft Defender التي يمكن أن تمكن تنفيذ التعليمات البرمجية العشوائي. لفحص النظام بأكمله بحثا عن المحتوى والبيانات الاصطناعية الضارة، يتم تشغيل برنامج مكافحة الفيروسات بامتيازات عالية (النظام المحلي، NT Authority\SYSTEM)، ما يجعله هدفا للهجمات.

في حين أن تصعيد الامتياز من بيئة الاختبار المعزولة صعب للغاية على أحدث إصدارات Windows 10 أو أحدث، ويضمن تشغيل برنامج الحماية من الفيروسات Microsoft Defender في بيئة الاختبار المعزولة أنه في حالة حدوث اختراق غير محتمل، تقتصر الإجراءات الضارة على البيئة المعزولة، ما يحمي بقية النظام من الضرر. يعد هذا جزءا من استثمارات Microsoft المستمرة للبقاء متقدما على المهاجمين من خلال ابتكارات الأمان.

تنفيذ بيئة الاختبار المعزولة لبرنامج الحماية من الفيروسات Microsoft Defender

تقوم منتجات مكافحة البرامج الضارة الحديثة بفحص العديد من المدخلات، على سبيل المثال، الملفات الموجودة على القرص وتدفقات البيانات في الذاكرة والأحداث السلوكية في الوقت الحقيقي. تتطلب العديد من هذه الإمكانات الوصول الكامل إلى الموارد المعنية. كان أول جهد رئيسي لبيئة الاختبار المعزولة مرتبطا بالطبقات Microsoft Defender قدرات فحص برنامج الحماية من الفيروسات في المكونات التي يجب تشغيلها بامتيازات كاملة والمكونات التي يمكن وضع آلية تحديد الوصول إليها. كان الهدف من المكونات المعزولة هو التأكد من أنها تشمل أعلى وظائف المخاطر مثل فحص الإدخال غير الموثوق به، وتوسيع الحاويات، وما إلى ذلك. في الوقت نفسه، كان علينا تقليل عدد التفاعلات بين الطبقتين من أجل تجنب تكلفة أداء كبيرة.

استخدام الموارد هو أيضا مشكلة أخرى تتطلب استثمارات كبيرة، تحتاج كل من العملية المتميزة وعملية بيئة الاختبار المعزولة إلى الوصول إلى تحديثات Security Intelligence، والكشفات الأخرى وبيانات تعريف المعالجة. لتجنب التكرار والحفاظ على ضمانات أمان قوية لتجنب الطرق غير الآمنة لمشاركة الحالة أو لتقديم تكلفة وقت تشغيل كبيرة لتمرير البيانات/المحتوى بين العمليات، نستخدم نموذجا حيث تتم استضافة معظم بيانات الحماية في الملفات المعينة بالذاكرة والتي تكون للقراءة فقط في وقت التشغيل. وهذا يعني أنه يمكن استضافة بيانات الحماية في عمليات متعددة دون أي نفقات إضافية.

تمكين وضع الحماية من الفيروسات Microsoft Defender

يمكنك اتباع هذه الخطوات لتمكين بيئة الاختبار المعزولة عن طريق تعيين متغير بيئة على مستوى الجهاز:

  1. قم بتشغيل الأمر التالي كمسؤول في PowerShell أو CMD:

    setx /M MP_FORCE_USE_SANDBOX 1  
    

    لقطة شاشة تعرض أداة Windows PowerShell للمسؤولين مع تفاصيل cmdlet لتمكين sanbox.

  2. أعد تشغيل الجهاز. بمجرد إعادة التشغيل، سترى عملية جديدة إلى جانب MsMpEng.exe الموجودة MsMpEngCP.exe في المجلدات التالية:

    مسار عمليه الوصف
    C:\ProgramData\Microsoft\Windows Defender\Scans MsMpEngCP.exe عملية المحتوى القابل للتنفيذ لخدمة مكافحة البرامج الضارة
    C:\Users\All Users\Microsoft\Windows Defender\Scans MsMpEngCP.exe عملية المحتوى القابل للتنفيذ لخدمة مكافحة البرامج الضارة

    ملاحظة

    CP in MsMpEngCP.exe هو عملية المحتوى.

تعطيل بيئة الاختبار المعزولة

لتعطيل وضع الحماية من الفيروسات Microsoft Defender، قم بتشغيل الأمر التالي كمسؤول في PowerShell أو CMD:

setx /M MP_FORCE_USE_SANDBOX 0

الأسئلة المتداولة

ماذا يحدث عند تعطيل بيئة الاختبار المعزولة؟

يقوم برنامج الحماية من الفيروسات Microsoft Defender بإجراء احتياطي في proc يستضيف فحص المحتوى في العملية المميزة/الأصل لتوفير الحماية.

كيف يتم تعزيز عملية المحتوى؟

تستخدم عمليات المحتوى، التي تعمل بامتيازات منخفضة، أيضا بقوة جميع نهج التخفيف المتاحة لتقليل الهجوم السطحي. وهي تمكن وتمنع تغييرات وقت التشغيل لتقنيات التخفيف من الهجمات الحديثة مثل منع تنفيذ البيانات (DEP) والعشوائية لتخطيط مساحة العنوان (ASLR) و Control Flow Guard (CFG). كما أنها تعطل استدعاءات نظام Win32K وجميع نقاط القابلية للتوسعة، بالإضافة إلى فرض تحميل التعليمات البرمجية الموقعة والموثوق بها فقط.

أداء MDAV مع تمكين بيئة الاختبار المعزولة

غالبا ما يكون الأداء هو الشاغل الرئيسي الذي يثيره تحديد بيئة الاختبار المعزولة، خاصة بالنظر إلى أن منتجات مكافحة البرامج الضارة موجودة في العديد من المسارات الهامة مثل فحص عمليات الملفات بشكل متزامن ومعالجتها وتجميعها أو مطابقة أعداد كبيرة من أحداث وقت التشغيل. للتأكد من أن الأداء لا يتدهور، كان علينا تقليل عدد التفاعلات بين بيئة الاختبار المعزولة والعملية المميزة. في الوقت نفسه، قم بإجراء هذه التفاعلات فقط في لحظات رئيسية حيث لن تكون تكلفتها كبيرة، على سبيل المثال، عند تنفيذ الإدخال/الإخراج.

Microsoft Defender يقوم برنامج مكافحة الفيروسات بجهد منسق لتجنب الإدخال/الإخراج غير الضروري، على سبيل المثال، يعد تقليل كمية البيانات المقروءة لكل ملف تم فحصه أمرا بالغ الأهمية في الحفاظ على الأداء الجيد، خاصة على الأجهزة القديمة (القرص التدويري، الموارد البعيدة). وبالتالي، كان من الضروري الحفاظ على نموذج حيث يمكن لبيئة الاختبار المعزولة طلب البيانات للفحص حسب الحاجة، بدلا من تمرير المحتوى بأكمله.

موثوقية MDAV مع تمكين بيئة الاختبار المعزولة

ملاحظة

تمرير المقابض إلى بيئة الاختبار المعزولة (لتجنب تكلفة تمرير المحتوى الفعلي) ليس خيارا لأن هناك العديد من السيناريوهات، مثل الفحص في الوقت الحقيقي وAMSI وما إلى ذلك، حيث لا يوجد مقبض "قابل للمشاركة" يمكن استخدامه بواسطة بيئة الاختبار المعزولة دون منح امتيازات كبيرة، ما يقلل من الأمان.

وثمة قلق كبير آخر يتعلق ببيئة الاختبار المعزولة يتعلق بآلية الاتصال بين العمليات لتجنب المشاكل المحتملة مثل حالات التوقف التام وانعكاسات الأولوية. يجب ألا يؤدي الاتصال إلى أي ازدحام محتمل، إما عن طريق تقييد المتصل أو عن طريق الحد من عدد الطلبات المتزامنة التي يمكن معالجتها. علاوة على ذلك، يجب ألا تؤدي عملية بيئة الاختبار المعزولة إلى تشغيل عمليات الفحص في حد ذاتها. يجب أن تحدث جميع عمليات الفحص دون تشغيل المزيد من عمليات الفحص. يتطلب هذا التحكم الكامل في قدرات بيئة الاختبار المعزولة والتأكد من عدم إمكانية تشغيل أي عمليات غير متوقعة. تعد AppContainers ذات الامتيازات المنخفضة الطريقة المثالية لتنفيذ ضمانات قوية لأن النموذج المستند إلى القدرات سيسمح بالتحكم الدقيق في تحديد ما يمكن أن تفعله عملية بيئة الاختبار المعزولة.

معالجة MDAV مع تمكين بيئة الاختبار المعزولة

وأخيرا، هناك تحد كبير من منظور الأمان يتعلق بالمعالجة أو التطهير للمحتوى. نظرا للطبيعة الحساسة للإجراء (محاولات استعادة ثنائي إلى محتوى الاختبار المسبق الأصلي)، كنا بحاجة إلى التأكد من أن هذا يحدث بامتيازات عالية من أجل التخفيف من الحالات التي يمكن فيها اختراق عملية المحتوى (بيئة الاختبار المعزولة) ويمكن استخدام التطهير لتعديل الثنائي المكتشف بطرق غير متوقعة.

ما الذي يجب فعله أثناء استكشاف أخطاء عملية MsMpEng.CP.exe وإصلاحها، إذا بدأت وتوقفت بعد بضع دقائق؟

اجمع سجلات تشخيص الدعم وأي معلومات تفريغ/تعطل ذات صلة إذا كانت هناك أحداث إعداد تقرير بالأخطاء في Windows (WER) مقترنة في وقت توقف العملية.