微軟上周宣布，其殺毒軟件Windows Defender Antivirus已經可在沙盒中執行，成為第一個具備此類能力的殺毒軟件。微軟并準備發布給Windows Insider方案的開發或研究人員。

将Windows Defender Antivirus成功置于沙盒中執行可防止沙盒應用被入侵，将惡意程序隔離在孤立環境中，确保系統其他部分不受影響。微軟說明開發能讓Windows Defender Antivirus在沙盒中執行的原因在于，除了微軟持續強化Windows 10整體對攻擊的防禦能力外，微軟内、外部研究人員已發現Windows Defender Antivirus内容分析器（content parser）的漏洞可用來執行任意代碼執行。雖然沒有看到Defender Antivirus漏洞的入侵行為，但也激起該公司強化産品能力的想法。

這家軟件巨人指出，将Windows Defender Antivirus置于程序執行受限環境下，是聽取安全業界及研究界意見的結果。這是一件很困難的挑戰，因為他們必須考慮對性能和功能性的影響、找出高風險區域，并确保這類沙盒技術不會影響産品原有的安全性等。

微軟解釋為此對Windows Defender Antivirus做了哪些調整。首先，現代安全軟件需要掃描各種對象，包括磁盤、內存中的數據串，以及即時行為事件等。而沙盒化的最重要功能之一需要将Windows Defender Antivirus掃描能力分層（layering）以完整權限執行，而且可于沙盒中執行的組件。将這些組件沙盒化執行的目的是可涵蓋高風險任務，例如掃描不受信賴的輸入指令、擴大的容器等，此外也需要将兩個分層間的交互減少至最小以避免大幅損及性能，而隻在對性能要求較低時執行這些交互。

Defender Antivirus也盡量做協調作業以避免産生不必要的I/O、減少數據讀取

，以确保受檢查文件維持良好性能，尤其是在老舊硬件上。此外，微軟也借由限制可被處理的同時調用，以減少程序間通信（inter-process communication）、引發死結（deadlock）或優先權颠倒（priority inversion）等性能瓶頸，并以低權限的Appcontainer實例沙盒，防止不預期的程序被驅動。其他還需考察逐步部署及可使用資源的問題，還要賦給Windows Defender Antivirus高度權限，使它有能力及時緩解事件、或複原被感染的組件。

微軟準備逐步将Windows Defender Antivirus發布給加入Windows Insider方案的開發或研究人員。目前僅Windows 10的1703版本以上支持這項新功能。

用戶可以借由設置環境變項（setx /M MP_FORCE_USE_SANDBOX 1）後重啟，一旦沙盒功能啟動，用戶即會在Windows Defender Antivirus中看到MsMpEngCP.exe的内容程序。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!