微軟本周才自豪地公佈其Windows 10版Windows Defender Antivirus成為第一個能在沙盒中執行的防毒軟體。不過事情總是不那麼完美。安全研究人員發現Windows Defender Antivirus有瑕疵,電腦完全關機再重開機無法啟用沙盒功能,而必須重啟(restart)才有作用。

讓Windows Defender Antivirus在沙盒中執行可防止沙盒應用遭入侵,將惡意程式隔離在孤立環境中,確保系統其他部份不受影響。

根據微軟說明,設定環境變項(setx /M MP_FORCE_USE_SANDBOX 1)後重新開機就可以啟動這項功能。沙盒啟動後,從程式管理員中就可以看到MsMpEng.exe下出現子程序MsMpEngCP.exe(即沙盒)。

但系統網路安全協會(SANS)研究人員Didier Stevens發現,變更系統環境變項後將電腦關機(Shutdown)之後再開機上述動作並不會發生。只有在重啟(Restart)作用才能啟動沙盒。同樣地,如果原本Windows Defender有啟動沙盒功能想關閉(即把前述變項的1改回0),也會發生同樣問題。

研究人員已經問題反映給微軟,微軟可望會在下次更新中修復。

目前僅Windows 10的1703版本以上支援這項新功能。微軟表示準備將Windows Defender Antivirus釋出給加入Windows Insider方案的開發或研究人員。


Advertisement

更多 iThome相關內容