Microsoft packt Windows Defender in Sandbox

Der in Windows 10 integrierte Windows Defender soll künftig in einer isolierten Sandbox arbeiten. Damit ist das Betriebssystem geschützt, selbst wenn die Antivirenlösung korrumpiert wurde.

von Stefan Bordel 29.10.2018
Bildergalerie Die besten Virenscanner für Windows 10 Die besten Virenscanner für Windows 10 18 Fotos Zoom

Mehr Sicherheit für Windows 10: Wie Microsoft in einem Blogpost mitteilt, wird der im Betriebssystem integrierte Windows Defender künftig in einer isolierten Sandbox ausgeführt. Durch diesen Schritt wollen die Redmonder verhindern, dass zielgerichtete Angriffe auf die Antivirenlösung das gesamte System in Mitleidenschaft ziehen können.

Microsoft reagiert mit dem neuen Feature auf Feedback von diversen Sicherheitsexperten und Forschern. Diesen sei es gelungen, Schwachstellen in den Inhalts-Parsern des Windows Defenders auszunutzen, um beliebigen Schadcode im System auszuführen. Diese Lücke hat Microsoft nach eigenen Angaben bereits geschlossen, zu Angriffe in freier Wildbahn sei es nicht gekommen. Mit dem Umzug des Windows Defenders in eine isolierte Umgebung werde nun potenziellen Angreifern der Zugang zum Betriebssystem über den Virenscanner verwehrt. Damit bleibe Windows 10 sicher, selbst wenn der Virenscanner von Schad-Software befallen sei.

Der Umzug der Antivirenlösung in eine Sandbox gestaltete sich, wie Microsoft weiter ausführt, sehr komplex. So musste zunächst herausgearbeitet werden, welche Funktionalitäten der Sicherheitslösung unbedingt auf uneingeschränkten Systemzugriff angewiesen sind und welche sich auch ohne Weiteres in einer isolierten Umgebung ausführen lassen. Dabei sollten die in der Sandbox ausgeführten Funktionen die grösstmögliche Sicherheit gewährleisten, ohne dabei die Performance des Systems negativ zu beeinflussen.

Aktuell wird die Sandbox-Funktion bereits in verschiedenen Insider Preview Builds von Windows 10 getestet, Windows-Anwender ab Build 1703 können das Feature aber ebenfalls freischalten. Hierzu ist in einem mit Administrator-Rechten gestarteten Kommandozeilenfenster lediglich die folgende Eingabe sowie ein anschliessender Neustart erforderlich:
setx /M MP_FORCE_USE_SANDBOX 1

Die Nutzung der Sandbox zeigt sich im Task-Manager an dem Prozess MsMpEngCP.exe, der zusammen mit dem eigentlichen Anti-Malware-Dienst MsMpEng.exe ausgeführt wird.

Wenn der Wächter selbst zum Ziel wird

Fehler in Antiviren-Software können verheerende Auswirkungen auf die gesamte Systemsicherheit haben, da die Programme meist über weitreichende Zugriffsberechtigungen verfügen. Diese Rechte benötigen die Tools, um selbst tief im System verankerte Schad-Software auszumachen. Dass es allerdings viele Hersteller von Antiviren-Software nicht so genau mit der Sicherheit der eigenen Lösungen nehmen, hat das AV-Test-Institut bereits in einer Testreihe aus dem Jahr 2015 ermittelt. Und auch Googles Security-Experte Tavis Ormandy wird immer wieder fündig, wenn es um Sicherheitsmängel bei AVG, Comodo, Trend Micro, Symantec und Co. geht.

Indessen etabliert sich Microsofts Windows Defender kontinuierlich zu einer ganzheitlichen Sicherheitslösung. Während der in Windows 10 integrierte Virenscanner anfangs noch mit einigen Kinderkrankheiten zu kämpfen hatte, positioniert sich die Lösung mittlerweile auf Augenhöhe mit den Tools etablierter Sicherheitsanbieter.


    Kommentare

    • pctippx 04.11.2018, 11.51 Uhr

      Vor der Eingabe des Befehls muss die PowerShell mit Admin-Rechten gestartet werden.

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.