微軟上周宣布，其防毒軟件Windows Defender Antivirus已經可在沙盒中執行，成為第一個具備此類能力的防毒軟件。微軟并準備釋出給Windows Insider方案的開發或研究人員。

将Windows Defender Antivirus成功置于沙盒中執行可防止沙盒應用被入侵，将惡意程式隔離在孤立環境中，确保系統其他部份不受影響。微軟說明開發能讓Windows Defender Antivirus在沙盒中執行的原因在于，除了微軟持續強化Windows 10整體對攻擊的防禦能力外，微軟内、外部研究人員已發現Windows Defender Antivirus屬性分析器（content parser）的漏洞可用來執行任意代碼執行。雖然沒有看到Defender Antivirus漏洞的入侵行為，但也激起該公司強化産品能力的想法。

這家軟件巨人指出，将Windows Defender Antivirus置于程序執行受限環境下，是聽取安全業界及研究界意見的結果。這是一件很困難的挑戰，因為他們必須考慮對性能和功能性的影響、找出高風險區域，并确保這類沙盒技術不會影響産品原有的安全性等。

微軟解釋為此對Windows Defender Antivirus做了哪些調整。首先，現代安全軟件需要掃瞄各種對象，包括磁盤、內存中的資料串，以及即時行為事件等。而沙盒化的最重要功能之一需要将Windows Defender Antivirus掃瞄能力分層（layering）以完整權限執行，而且可于沙盒中執行的元件。将這些元件沙盒化執行的目的是可涵括高風險任務，例如掃瞄不受信賴的輸入指令、擴大的容器等，此外也需要将兩個分層間的互動減少至最小以避免大幅損及性能，而隻在對效能要求較低時執行這些互動。

Defender Antivirus也盡量做協調作業以避免産生不必要的I/O、減少資料讀取，以确保受檢查檔案維持良好性能，尤其是在老舊硬件上。此外，微軟也藉由限制可被處理的同時呼叫，以減少程序間通訊（inter-process communication）、引發死結（deadlock）或優先權颠倒（priority inversion）等效能瓶頸，并以低權限的Appcontainer實作沙盒，防止不預期的程序被驅動。其他還需考察逐步部署及可使用資源的問題，還要賦予Windows Defender Antivirus高度權限，使它有能力及時緩解事件、或複原被感染的元件。

微軟準備逐步将Windows Defender Antivirus釋出給加入Windows Insider方案的開發或研究人員。目前僅Windows 10的1703版本以上支持這項新功能。

使用者可以藉由設定環境變項（setx /M MP_FORCE_USE_SANDBOX 1）後重新開機，一旦沙盒功能啟動，使用者即會在Windows Defender Antivirus中看到MsMpEngCP.exe的屬性程序。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!