Lue englanniksi

Jaa


Suorita Microsoft Defender virustentorjunta eristyksessä

Koskee seuraavia:

Alustoilla:

  • Windows

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan, miten Microsoft Defender virustentorjunta suoritetaan eristysympäristössä, jotta peukaloinnin torjuntaa voidaan parantaa.

Microsoft Defender virustentorjuntaohjelma valmiilla virustentorjuntatoiminnoilla voidaan suorittaa eristyksessä Windowsissa 26.10.2018 alkaen. Se oli ensimmäinen täydellinen virustentorjuntaratkaisu, joka sai tämän ominaisuuden, ja se johtaa edelleen alaa suojauksen riman nostamisessa.

Ennakkovaatimukset

Ennen kuin aloitat, sinun on täytettävä seuraavat vaatimukset:

  • Microsoft Defender virustentorjunta (aktiivinen tila)
  • Windows 11 tai Windows 10 versio 1703 tai uudempi versio
  • Windows Server 2022 tai Windows Server 2019 tai Windows Server 2016 tai uudempi

Miksi virustentorjunta Microsoft Defender suoritetaan eristyksessä?

Suojaustutkijat sekä Microsoftin sisä- että ulkopuolella ovat aiemmin tunnistaneet tapoja, joilla hyökkääjä voi hyödyntää virustentorjunnan sisältö jäsentäjien Microsoft Defender haavoittuvuuksia, jotka voisivat mahdollistaa mielivaltaisen koodin suorittamisen. Jos haluat tarkistaa koko järjestelmän haitallisen sisällön ja artefaktien varalta, virustentorjunta suoritetaan suurilla oikeuksilla (paikallinen järjestelmä, NT-viranomainen\JÄRJESTELMÄ), jolloin se on hyökkäysten kohde.

Kun eristyksen oikeuksien eskalointi on niin vaikeaa Windows 10 uusimmissa versioissa tai uudemmissa versioissa, ja Microsoft Defender virustentorjunnan suorittaminen eristyksessä varmistaa, että epätodennäköisessä kompromissitilanteessa haitalliset toimet rajoittuvat eristettyihin ympäristöihin ja suojaavat muun järjestelmän vahingoilta. Tämä on osa Microsoftin jatkuvaa investointia pysyä hyökkääjien edellä tietoturvainnovaatioiden kautta.

Eristyksen toteuttaminen Microsoft Defender virustentorjuntaa varten

Nykyaikaiset haittaohjelmien torjuntatuotteet tarkistavat monia syötteitä, esimerkiksi levyllä olevia tiedostoja, muistissa olevia tietovirtoja ja reaaliaikaisia käyttäytymistapahtumia. Monet näistä ominaisuuksista edellyttävät kyseisten resurssien täyttä käyttöoikeutta. Ensimmäinen merkittävä eristystyö liittyi Microsoft Defender virustentorjunnan tarkastusominaisuuksien kerrostamiseen komponentteihin, joiden on ehdottomasti toimittava täydellä oikeuksilla ja eristettävillä osilla. Eristettyjen komponenttien tavoitteena oli varmistaa, että ne kattavat suurimman riskin toiminnot, kuten epäluotetun syötteen skannaamisen, säilöjen laajentamisen ja niin edelleen. Samalla jouduimme minimoimaan vuorovaikutusten määrän kahden kerroksen välillä, jotta vältyttäisiin huomattavilta suorituskykykustannuksilta.

Resurssien käyttö on myös toinen ongelma, joka edellyttää merkittäviä investointeja. Sekä etuoikeutetun prosessin että eristysprosessin on päästävä käyttämään suojaustietojen päivityksiä, muita tunnistuksia ja korjausmetatietoja. Jos haluat välttää päällekkäisyyksiä ja säilyttää vahvat suojaustakuut, joilla vältetään vaaralliset tavat jakaa tilaa tai aiheuttaa merkittäviä suorituksenaikaisia kustannuksia tietojen/sisällön välittämisestä prosessien välillä, käytämme mallia, jossa useimpia suojaustietoja isännöidaan muistiin liitetyissä tiedostoissa, jotka ovat vain luku -tilassa suorituksen aikana. Tämä tarkoittaa sitä, että suojaustietoja voidaan isännöidä useisiin prosesseihin ilman kuormituskustannuksia.

Ota eristys käyttöön Microsoft Defender virustentorjuntaa varten

Voit ottaa eristyksen käyttöön noudattamalla seuraavia ohjeita määrittämällä koko tietokoneen laajuisen ympäristömuuttujan:

  1. Suorita seuraava komento järjestelmänvalvojana PowerShellissä tai CMD:ssä:

    setx /M MP_FORCE_USE_SANDBOX 1  
    

    Näyttökuva, jossa näkyy Windows PowerShell työkalu järjestelmänvalvojille ja cmdlet-tiedot eristyksen käyttöönottamiseksi.

  2. Käynnistä laite uudelleen. Kun olet käynnistänyt uudelleen, näet seuraavissa kansioissa olevan MsMpEng.exe MsMpEngCP.exe lisäksi uuden prosessin:

    Polku Prosessi Kuvaus
    C:\ProgramData\Microsoft\Windows Defender\Scans MsMpEngCP.exe Haittaohjelmien torjuntapalvelun suoritettava sisältöprosessi
    C:\Users\All Users\Microsoft\Windows Defender\Scans MsMpEngCP.exe Haittaohjelmien torjuntapalvelun suoritettava sisältöprosessi

    Huomautus

    Sisältöprosessi on CP in MsMpEngCP.exe .

Poista eristys käytöstä

Voit poistaa Microsoft Defender virustentorjunnan eristyksen käytöstä suorittamalla seuraavan komennon järjestelmänvalvojana PowerShellissä tai CMD:ssä:

setx /M MP_FORCE_USE_SANDBOX 0

Usein kysytyt kysymykset

Mitä tapahtuu, kun eristys on poistettu käytöstä?

Microsoft Defender virustentorjunta suorittaa suojauksen in-proc-varatoiminnon, joka isännöi sisällön tarkistusta erityis- tai pääprosessissa.

Miten sisältöprosessia vahvistetaan?

Sisältöprosessit, jotka suoritetaan alhaisin oikeuksin, käyttävät myös aggressiivisesti kaikkia käytettävissä olevia lievennyskäytäntöjä pintahyökkäyksen vähentämiseksi. Ne mahdollistavat ja estävät ajonaikaiset muutokset nykyaikaisissa hyödynnystekniikoissa, kuten tietojen suorittamisen estämisessä (DEP), tilan asettelun satunnaistamisessa (ASLR) ja Ohjausobjektin virtaussuojassa (CFG). Ne myös poistavat käytöstä Win32K-järjestelmäkutsut ja kaikki laajennettavuuspisteet sekä valvovat, että vain allekirjoitettu ja luotettu koodi ladataan.

MDAV:n suorituskyky eristyksen ollessa käytössä

Suorituskyky on usein suurin eristykseen liittyvät huolenaiheet, erityisesti kun otetaan huomioon, että haittaohjelmien torjuntatuotteet ovat monilla kriittisillä poluilla, kuten tiedostojen toimintojen synkronoinnissa sekä käsittelyssä ja koostamisessa tai suurten suoritustapahtumien vastaavuuksien täsmäytyksessä. Jotta suorituskyky ei heikkene, eristyksen ja etuoikeutetun prosessin välinen vuorovaikutusten määrä oli pienennettävä. Samaan aikaan voit suorittaa nämä vuorovaikutukset vain keskeisinä hetkinä, jolloin niiden kustannukset eivät olisi merkittäviä esimerkiksi silloin, kun I/O suoritetaan.

Microsoft Defender virustentorjuntaohjelma pyrkii välttämään tarpeetonta I/O:ta, esimerkiksi lukemisen minimointi jokaiselle tarkastetulle tiedostolle on ensiarvoisen tärkeää hyvän suorituskyvyn säilyttämisessä erityisesti vanhemmissa laitteissa (kiertolevy, etäresurssit). Näin ollen oli tärkeää ylläpitää mallia, jossa eristys voi tarvittaessa pyytää tietoja tarkastusta varten koko sisällön välittämisen sijaan.

MDAV:n luotettavuus eristyksen ollessa käytössä

Huomautus

Kahvojen välittäminen eristykseen (todellisen sisällön välittämisen välttämiseksi) ei ole vaihtoehto, koska on monia skenaarioita, kuten reaaliaikainen tarkastus, AMSI jne., joissa ei ole jaettavaa kahvaa, jota eristys voi käyttää myöntämättä merkittäviä oikeuksia, mikä heikentää suojausta.

Toinen merkittävä eristykseen liittyvä huolenaihe liittyy prosessien väliseen viestintämekanismiin mahdollisten ongelmien, kuten lukkiutumisen ja ensisijaisten inversioiden, välttämiseksi. Viestintä ei saa aiheuttaa mahdollisia pullonkauloja joko rajoittamalla kutsujaa tai rajoittamalla käsiteltävien samanaikaisten pyyntöjen määrää. Lisäksi eristysprosessin ei pitäisi käynnistää tarkastustoimia itsekseen. Kaikkien tarkastusten pitäisi tapahtua käynnistämättä enempää skannauksia. Tämä edellyttää eristyksen ominaisuuksien täydellistä hallintaa ja sen varmistamista, ettei odottamattomia toimintoja voida käynnistää. Matalan oikeuden AppContainers on täydellinen tapa toteuttaa vahvoja takuita, koska ominaisuuspohjainen malli mahdollistaa hienosäädetyt ohjausobjektit eristysprosessin käytön määrittämiseksi.

MDAV:n korjaaminen eristyksen ollessa käytössä

Lopuksi suojauksen kannalta merkittävä haaste liittyy sisällön korjaamiseen tai desinfiointaan. Toiminnon arkaluontoisuuden vuoksi (yritykset palauttaa binaari alkuperäiseen preinfektiosisältöön) meidän oli varmistettava, että näin tapahtuu suurilla oikeuksilla, jotta voidaan lieventää tapauksia, joissa sisältöprosessi (eristys) voidaan vaarantaa ja desinfiointia voidaan käyttää havaitsemaan binaaria odottamattomilla tavoilla.

Mitä tehdä MsMpEng.CP.exe prosessin vianmäärityksen aikana, jos se käynnistyy ja pysähtyy muutaman minuutin kuluttua?

Kerää tuen diagnostiikkalokit ja mahdolliset kaatumisen ja vedosten tiedot, jos niihin liittyy Windowsin virheraportointi (WER) -tapahtumia prosessin pysähtymisen aikana.