Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison Plan 1 et Plan 2
- Microsoft Defender pour les PME
- Antivirus Microsoft Defender
Plates-formes:
- Windows
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Cet article explique comment exécuter Microsoft Defender Antivirus dans un environnement de bac à sable pour une protection renforcée contre la falsification.
Microsoft Defender antivirus avec ses fonctionnalités antivirus intégrées peut s’exécuter dans un bac à sable sur Windows à compter du 26 octobre 2018. Il s’agissait de la première solution antivirus complète à disposer de cette fonctionnalité et continue de diriger l’industrie en matière de sécurité.
Configuration requise
Avant de commencer, vous devez respecter les conditions suivantes :
- Antivirus Microsoft Defender (mode actif)
- Les appareils clients Windows doivent exécuter Windows 11 ou Windows 10 version 1703 ou ultérieure
- Les appareils Windows Server doivent exécuter Windows Server 2025, Windows Server 2022, Windows Server 2019 Windows Server 2016
Pourquoi exécuter Microsoft Defender Antivirus dans un bac à sable ?
Les chercheurs en sécurité, à la fois à l’intérieur et à l’extérieur de Microsoft, ont précédemment identifié des moyens permettant à un attaquant de tirer parti des vulnérabilités dans les analyseurs de contenu de Microsoft Defender Antivirus qui pourraient permettre l’exécution de code arbitraire. Pour inspecter l’ensemble du système à la recherche de contenu et d’artefacts malveillants, l’antivirus s’exécute avec des privilèges élevés (Système local, NT Authority\SYSTEM), ce qui en fait une cible pour les attaques.
Alors que l’escalade des privilèges à partir d’un bac à sable est tellement difficile sur les dernières versions de Windows 10 ou plus récentes et que l’exécution de Microsoft Defender Antivirus dans un bac à sable garantit que dans le cas peu probable d’une compromission, les actions malveillantes sont limitées à l’environnement isolé, protégeant le reste du système contre les dommages. Cela fait partie de l’investissement continu de Microsoft pour garder une longueur d’avance sur les attaquants grâce aux innovations en matière de sécurité.
Implémentation d’un bac à sable pour Microsoft Defender Antivirus
Les produits anti-programmes malveillants modernes inspectent de nombreuses entrées, par exemple les fichiers sur disque, les flux de données en mémoire et les événements comportementaux en temps réel. La plupart de ces fonctionnalités nécessitent un accès complet aux ressources en question. Le premier effort majeur de bac à sable a été lié à la superposition Microsoft Defender fonctionnalités d’inspection de l’antivirus dans les composants qui doivent absolument s’exécuter avec des privilèges complets et les composants qui peuvent être mis en bac à sable. L’objectif des composants en bac à sable était de s’assurer qu’ils englobent les fonctionnalités les plus risquées, telles que l’analyse des entrées non approuvées, l’expansion des conteneurs, etc. En même temps, nous avons dû réduire le nombre d’interactions entre les deux couches afin d’éviter un coût de performances important.
L’utilisation des ressources est également un autre problème qui nécessite des investissements importants, le processus privilégié et le processus de bac à sable doivent avoir accès aux mises à jour security intelligence, à d’autres détections et aux métadonnées de correction. Pour éviter la duplication et conserver des garanties de sécurité fortes qui sont d’éviter les méthodes dangereuses de partage d’état ou d’introduire un coût d’exécution important de transmission de données/contenu entre les processus, nous utilisons un modèle où la plupart des données de protection sont hébergées dans des fichiers mappés en mémoire qui sont en lecture seule au moment de l’exécution. Cela signifie que les données de protection peuvent être hébergées dans plusieurs processus sans aucune surcharge.
Activer le bac à sable pour Microsoft Defender Antivirus
Vous pouvez suivre ces étapes pour activer le bac à sable en définissant une variable d’environnement à l’échelle de l’ordinateur :
Exécutez la commande suivante en tant qu’administrateur dans PowerShell ou CMD :
setx /M MP_FORCE_USE_SANDBOX 1
Redémarrez lʼappareil. Une fois que vous avez redémarré, vous voyez un nouveau processus en plus de MsMpEng.exe qui se trouve
MsMpEngCP.exedans les dossiers suivants :Path Processus Description C :\ProgramData\Microsoft\Windows Defender\Scans MsMpEngCP.exe Processus de contenu exécutable du service anti-programme malveillant C :\Users\All Users\Microsoft\Windows Defender\Scans MsMpEngCP.exe Processus de contenu exécutable du service anti-programme malveillant Remarque
Cp dans
MsMpEngCP.exeest le processus de contenu.
Désactiver le bac à sable
Pour désactiver le bac à sable pour Microsoft Defender Antivirus, exécutez la commande suivante en tant qu’administrateur dans PowerShell ou CMD :
setx /M MP_FORCE_USE_SANDBOX 0
Foires aux questions
Que se passe-t-il quand le bac à sable est désactivé ?
Microsoft Defender Antivirus effectue un secours in-process qui héberge l’analyse du contenu dans le processus privilégié/parent pour fournir une protection.
Comment le processus de contenu est-il renforcé ?
Les processus de contenu, qui s’exécutent avec des privilèges faibles, utilisent également de manière agressive toutes les stratégies d’atténuation disponibles pour réduire les attaques de surface. Ils activent et empêchent les modifications du runtime pour les techniques modernes d’atténuation des attaques, telles que la prévention de l’exécution des données (DEP), la randomisation de la disposition de l’espace d’adressage (ASLR) et la protection de flux de contrôle (CFG). Ils désactivent également les appels système Win32K et tous les points d’extensibilité, et imposent que seul le code signé et approuvé soit chargé.
Performances de MDAV avec bac à sable activé
Les performances sont souvent la main préoccupation soulevée autour du bac à sable, en particulier étant donné que les produits anti-programme malveillant se trouvent dans de nombreux chemins critiques tels que l’inspection synchrone des opérations de fichier et le traitement et l’agrégation ou la correspondance d’un grand nombre d’événements d’exécution. Pour garantir que les performances ne se dégradent pas, nous avons dû réduire le nombre d’interactions entre le bac à sable et le processus privilégié. En même temps, n’effectuez ces interactions que dans les moments clés où leur coût n’est pas significatif, par exemple, lorsque des E/S sont effectuées.
Microsoft Defender Antivirus fait un effort orchestré pour éviter les E/S inutiles, par exemple, la réduction de la quantité de données lues pour chaque fichier inspecté est primordiale pour maintenir de bonnes performances, en particulier sur un matériel plus ancien (disque de rotation, ressources distantes). Par conséquent, il était essentiel de maintenir un modèle dans lequel le bac à sable peut demander des données pour l’inspection en fonction des besoins, au lieu de transmettre l’intégralité du contenu.
Fiabilité de MDAV avec bac à sable activé
Remarque
Le passage de handles au bac à sable (pour éviter le coût de transmission du contenu réel) n’est pas une option, car il existe de nombreux scénarios, tels que l’inspection en temps réel, AMSI, etc., où il n’existe aucun handle « partageable » qui peut être utilisé par le bac à sable sans accorder de privilèges significatifs, ce qui réduit la sécurité.
Une autre préoccupation importante concernant le bac à sable est liée au mécanisme de communication entre processus pour éviter des problèmes potentiels tels que les interblocages et les inversions de priorité. La communication ne doit pas introduire de goulots d’étranglement potentiels, soit en limitant l’appelant, soit en limitant le nombre de demandes simultanées pouvant être traitées. En outre, le processus de bac à sable ne doit pas déclencher d’opérations d’inspection par lui-même. Toutes les inspections doivent se produire sans déclencher d’autres analyses. Cela nécessite un contrôle complet des fonctionnalités du bac à sable et la garantie qu’aucune opération inattendue ne peut être déclenchée. Les AppContainers à faibles privilèges sont le moyen idéal d’implémenter des garanties fortes, car le modèle basé sur les fonctionnalités permet un contrôle précis sur la spécification de ce que le processus de bac à sable peut faire.
Correction de MDAV avec bac à sable activé
Enfin, un défi important du point de vue de la sécurité est lié à la correction ou à la désinfection du contenu. Étant donné la nature sensible de l’action (tentatives de restauration d’un fichier binaire dans le contenu de préinfection d’origine), nous devions nous assurer que cela se produit avec des privilèges élevés afin d’atténuer les cas où le processus de contenu (bac à sable) pouvait être compromis et la désinfection pouvait être utilisée pour modifier le binaire détecté de manière inattendue.
Que faire lors de la résolution des problèmes du processus MsMpEng.CP.exe, s’il démarre et s’arrête au bout de quelques minutes ?
Collectez les journaux de diagnostic de prise en charge et toutes les informations pertinentes sur les vidages/incidents s’il existe des événements de Rapport d'erreurs Windows (WER) associés au moment de l’arrêt du processus.