Ejecución de Microsoft Defender Antivirus en un espacio aislado
Se aplica a:
- Microsoft Defender XDR
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender para Empresas
- Microsoft Defender para punto de conexión Plan 1
- Antivirus de Microsoft Defender
Plataformas:
- Windows
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
En este artículo se describe cómo ejecutar Microsoft Defender Antivirus en un entorno de espacio aislado para mejorar la protección contra alteraciones.
Microsoft Defender Antivirus con sus funcionalidades antivirus integradas puede ejecutarse en un espacio aislado en Windows a partir del 26 de octubre de 2018. Fue la primera solución antivirus completa que tiene esta capacidad y sigue liderando el sector en la elevación del nivel de seguridad.
Antes de comenzar, debe cumplir los siguientes requisitos:
- Microsoft Defender Antivirus (modo activo)
- Windows 11 o Windows 10 versión 1703 o posterior
- Windows Server 2022 o Windows Server 2019 o Windows Server 2016 o posterior
Los investigadores de seguridad, tanto dentro como fuera de Microsoft, han identificado previamente formas en las que un atacante puede aprovechar las vulnerabilidades de Microsoft Defender analizadores de contenido de Antivirus que podrían permitir la ejecución arbitraria de código. Para inspeccionar todo el sistema en busca de contenido y artefactos malintencionados, el antivirus se ejecuta con privilegios elevados (Sistema local, NT Authority\SYSTEM), lo que lo convierte en un destino para ataques.
Mientras que la escalación de privilegios de un espacio aislado es tan difícil en las versiones más recientes de Windows 10 o más recientes y, al ejecutar Microsoft Defender Antivirus en un espacio aislado, se garantiza que, en el improbable caso de un peligro, las acciones malintencionadas se limitan al entorno aislado, lo que protege al resto del sistema de daños. Esto forma parte de la inversión continuada de Microsoft para mantenerse por delante de los atacantes a través de innovaciones de seguridad.
Los productos antimalware modernos inspeccionan muchas entradas, por ejemplo, archivos en disco, flujos de datos en memoria y eventos de comportamiento en tiempo real. Muchas de estas funcionalidades requieren acceso total a los recursos en cuestión. El primer esfuerzo importante de espacio aislado estaba relacionado con la agrupación en capas Microsoft Defender capacidades de inspección de Antivirus en los componentes que absolutamente deben ejecutarse con privilegios completos y los componentes que se pueden usar en espacio aislado. El objetivo de los componentes de espacio aislado era asegurarse de que abarcaban la funcionalidad de mayor riesgo, como el examen de entradas que no son de confianza, la expansión de contenedores, etc. Al mismo tiempo, tuvimos que minimizar el número de interacciones entre las dos capas para evitar un costo de rendimiento sustancial.
El uso de recursos también es otro problema que requiere inversiones significativas, tanto el proceso con privilegios como el proceso de espacio aislado deben tener acceso a actualizaciones de Inteligencia de seguridad, otras detecciones y metadatos de corrección. Para evitar la duplicación y conservar garantías de seguridad sólidas que eviten formas no seguras de compartir el estado o de introducir un costo en tiempo de ejecución significativo de pasar datos o contenido entre los procesos, usamos un modelo donde la mayoría de los datos de protección se hospedan en archivos asignados a memoria que son de solo lectura en tiempo de ejecución. Esto significa que los datos de protección se pueden hospedar en varios procesos sin ninguna sobrecarga.
Puede seguir estos pasos para habilitar el espacio aislado estableciendo una variable de entorno de toda la máquina:
Ejecute el siguiente comando como administrador en PowerShell o CMD:
setx /M MP_FORCE_USE_SANDBOX 1
Reinicie el dispositivo. Una vez que se haya reiniciado, verá un nuevo proceso además de MsMpEng.exe que se encuentra
MsMpEngCP.exe
en las carpetas siguientes:Ruta de acceso Proceso Descripción C:\ProgramData\Microsoft\Windows Defender\Scans MsMpEngCP.exe Proceso de contenido ejecutable del servicio antimalware C:\Users\All Users\Microsoft\Windows Defender\Scans MsMpEngCP.exe Proceso de contenido ejecutable del servicio antimalware Nota
CP en
MsMpEngCP.exe
es el proceso de contenido.
Para deshabilitar el espacio aislado para Microsoft Defender Antivirus, ejecute el siguiente comando como administrador en PowerShell o CMD:
setx /M MP_FORCE_USE_SANDBOX 0
Microsoft Defender Antivirus realiza una reserva en proceso que hospeda el examen de contenido en el proceso primario o con privilegios para proporcionar protección.
Los procesos de contenido, que se ejecutan con privilegios bajos, también usan agresivamente todas las directivas de mitigación disponibles para reducir el ataque superficial. Habilitan y evitan cambios en tiempo de ejecución para técnicas modernas de mitigación de vulnerabilidades, como la prevención de ejecución de datos (DEP), la aleatoriedad del diseño del espacio de direcciones (ASLR) y La protección de flujo de control (CFG). También deshabilitan las llamadas del sistema Win32K y todos los puntos de extensibilidad, así como aplican que solo se carga código firmado y de confianza.
Rendimiento de MDAV con espacio aislado habilitado
El rendimiento suele ser la principal preocupación que se genera en torno al espacio aislado, especialmente dado que los productos antimalware se encuentran en muchas rutas críticas, como inspeccionar de forma sincrónica las operaciones de archivo y procesar y agregar o buscar coincidencias con un gran número de eventos en tiempo de ejecución. Para garantizar que el rendimiento no se degrade, tuvimos que minimizar el número de interacciones entre el espacio aislado y el proceso con privilegios. Al mismo tiempo, solo realice estas interacciones en momentos clave en los que su costo no sería significativo, por ejemplo, cuando se realiza la E/S.
Microsoft Defender Antivirus realiza un esfuerzo orquestado para evitar E/S innecesaria, por ejemplo, minimizar la cantidad de datos leídos para cada archivo inspeccionado es fundamental para mantener un buen rendimiento, especialmente en hardware antiguo (disco rotacional, recursos remotos). Por lo tanto, era fundamental mantener un modelo en el que el espacio aislado pueda solicitar datos para su inspección según sea necesario, en lugar de pasar todo el contenido.
Confiabilidad de MDAV con espacio aislado habilitado
Nota
Pasar identificadores al espacio aislado (para evitar el costo de pasar el contenido real) no es una opción porque hay muchos escenarios, como la inspección en tiempo real, AMSI, etc., donde no hay ningún identificador "compartible" que pueda usar el espacio aislado sin conceder privilegios significativos, lo que reduce la seguridad.
Otra preocupación importante sobre el espacio aislado está relacionada con el mecanismo de comunicación entre procesos para evitar posibles problemas como interbloqueos e inversiones de prioridad. La comunicación no debe introducir posibles cuellos de botella, ya sea limitando el autor de la llamada o limitando el número de solicitudes simultáneas que se pueden procesar. Además, el proceso de espacio aislado no debe desencadenar operaciones de inspección por sí mismo. Todas las inspecciones deben realizarse sin desencadenar más exámenes. Esto requiere controlar completamente las funcionalidades del espacio aislado y garantizar que no se puedan desencadenar operaciones inesperadas. AppContainers con privilegios bajos es la manera perfecta de implementar garantías sólidas, ya que el modelo basado en funcionalidades permitirá un control específico sobre cómo especificar lo que puede hacer el proceso de espacio aislado.
Corrección de MDAV con espacio aislado habilitado
Por último, un desafío significativo desde la perspectiva de la seguridad está relacionado con la corrección de contenido o la desinfección. Dada la naturaleza confidencial de la acción (intenta restaurar un binario al contenido de preinfección original), era necesario asegurarse de que esto sucede con privilegios elevados con el fin de mitigar los casos en los que el proceso de contenido (espacio aislado) podría estar en peligro y la desinfección podría usarse para modificar el binario detectado de maneras inesperadas.
¿Qué hacer al solucionar problemas del proceso de MsMpEng.CP.exe, si se inicia y se detiene después de unos minutos?
Recopile los registros de diagnóstico de soporte técnico y cualquier información de volcado o bloqueo pertinente si hay eventos de Informe de errores de Windows asociados (WER) alrededor del momento en que se detiene el proceso.