Am Puls von Microsoft

Sicherheit: Microsoft packt den Windows Defender in eine Sandbox

Sicherheit: Microsoft packt den Windows Defender in eine Sandbox

Damit Antivirus-Programme ihre Arbeit tun können, müssen sie mit der höchsten Berechtigungsstufe laufen. Das macht sie selbst zu einem attraktiven Ziel für Hacker: Gelingt die feindliche Übernahme eines AV-Programms, kann der Angreifer nicht nur sämtliche Warn- und Schutz-Funktionen deaktivieren, sondern hat auch gleich uneingeschränkten Zugang zu allen Bereichen des Systems.

Microsoft hat daher schon seit langer Zeit daran gearbeitet, den Windows Defender in eine Sandbox zu packen und ihn so wesentlich besser vor Angriffen zu schützen. Ein auf den ersten Blick unmögliches Unterfangen, denn schließlich sind Programme, die in einer Sandbox laufen, weitreichenden Beschränkungen unterworfen.

Wie man heute stolz mitteilt, hat man dieses kühne Vorhaben aber tatsächlich in die Tat umgesetzt, und das offenbar schon seit geraumer Zeit. Schon die Windows 10 Version 1703 unterstützte durch eine Konfigurations-Änderung (siehe unten) die Ausführung des Defender in einer Sandbox, erst jetzt geht man damit aber an die Öffentlichkeit. In den Insider-Versionen von Windows 10 wird die Option nun scharf geschaltet, d.h. im Frühjahr 2019 werden alle Windows 10 Nutzer von der verbesserten Sicherheit profitieren.

Um dieses Ziel zu erreichen, hat man den Defender in zwei Komponenten aufgeteilt. Die Bestandteile, die für die Echtzeit-Überwachung vollen Systemzugriff benötigen, laufen wie bisher in dem Prozess MsMpEng.exe. Ist die Sandbox aktiviert, kommt der Prozess MsMpEngCP.exe hinzu, in dem die eigentlichen Scan-Vorgänge laufen. Der Defender ist laut Microsoft das erste Antivirus-Produkt überhaupt mit einem derart weitreichenden Eigenschutz.

Die Performance soll darunter nicht leiden, die Kommunikation zwischen dem isolierten und dem privilegierten Prozess sei entsprechend optimiert.

Wer kein Windows Insider ist, der kann das Sandboxing für den Defender manuell aktivieren. An einer administrativen PowerShell gibt man den folgenden Befehl ein:

setx /M MP_FORCE_USE_SANDBOX 1

Mit einer „0“ am Ende schaltet man die Option wieder aus, zur endgültigen Aktivierung ist ein Neustart erforderlich.

DrWindows News per WhatsApp: Abonniere unseren Kanal.
Artikel im Forum diskutieren (30)

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 19 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige
Anzeige