Windows Defender ahora ofrece el modo Sandbox ultra seguro, así es cómo activarlo

El antivirus incorporado de Windows 10 ahora puede ejecutarse en un entorno limitado. Incluso si un atacante compromete el motor antivirus, no tendrían acceso al resto del sistema.

El antivirus incorporado de Windows 10 ahora puede ejecutarse en un entorno limitado. Incluso si un atacante compromete el motor antivirus, no tendrían acceso al resto del sistema. Como dice Tavis Ormandy de Google, «esto está cambiando el juego».

De hecho, Windows Defender es el primer producto antivirus completo que puede ejecutarse en un entorno limitado. Ninguno de los productos antivirus de pago (o gratuitos) que puede descargar cuenta con esta función.

Esta noticia proviene del blog oficial de Microsoft Secure. Como dice Microsoft:

Los investigadores de seguridad, tanto dentro como fuera de Microsoft, han identificado previamente formas en que un atacante puede aprovechar las vulnerabilidades en los analizadores de contenido de Windows Defender Antivirus que podrían permitir la ejecución de código arbitrario. Si bien no hemos visto ataques en la naturaleza que apunten activamente al Antivirus de Windows Defender, tomamos estos informes en serio …

La ejecución del Antivirus de Windows Defender en un entorno limitado garantiza que, en el improbable caso de un compromiso, las acciones maliciosas se limiten al entorno aislado, protegiendo al resto del sistema de daños.

En otras palabras, el proceso antivirus de Windows Defender que analiza los archivos descargados y otro contenido se ejecutará con muy pocos permisos. Incluso si hubo un error en el proceso antivirus y un archivo creado con fines malintencionados logró comprometer el antivirus en sí, ese proceso antivirus ahora peligroso no proporcionaría ningún acceso al resto de su sistema. El ataque habría fallado.

Claro, un antivirus todavía necesita mucho acceso a su sistema. Pero el proceso antivirus principal que se ejecuta con muchos permisos no analizará los archivos. Transmite el contenido a un proceso de espacio aislado de bajo privilegio, que realiza el trabajo sucio y peligroso en un área segura.

La publicación de blog de Microsoft continúa describiendo cómo se implementó esta característica sin ninguna caída notable en el rendimiento:

El rendimiento es a menudo la principal preocupación planteada en torno al sandboxing, especialmente dado que los productos antimalware se encuentran en muchas rutas críticas, como la inspección sincrónica de las operaciones de archivos y el procesamiento y la agregación o coincidencia de grandes cantidades de eventos de tiempo de ejecución. Para garantizar que el rendimiento no se degrade, tuvimos que minimizar la cantidad de interacciones entre el entorno limitado y el proceso privilegiado y, al mismo tiempo, solo realizar estas interacciones en momentos clave donde su costo no sería significativo, por ejemplo, cuando IO se está realizando.

Hay muchos más detalles que eso en la publicación de blog de Microsoft, así que échale un vistazo si estás interesado.

¿Cuándo lo conseguirás?

Si bien esta función es emocionante, todavía no está habilitada de manera predeterminada en los sistemas Windows 10. Microsoft dice que «habilitará gradualmente» esta característica para Windows Insiders y analizará cómo funciona en el mundo real.

Advertencia : Microsoft todavía no tiene la suficiente confianza en esta función para habilitarla de manera predeterminada para todos, por lo que puede experimentar errores después de habilitarla. Lo habilitamos en nuestro sistema y, sin embargo, todo parecía funcionar bien.

Para habilitar esta función hoy, inicie un símbolo del sistema o una ventana de PowerShell como administrador, ejecute el siguiente comando y luego reinicie su PC:

 setx/M MP_FORCE_USE_SANDBOX 1 

Este comando funciona en Windows 10 versión 1703, también conocida como Creators Update, y en las versiones más recientes de Windows 10. Esa versión de Windows 10 se lanzó en abril de 2017, por lo que es casi seguro que su PC tenga esa versión o una más nueva.

Si desea deshacer este cambio, ejecute el mismo comando, reemplazando el «1» con un «0» y reinicie su PC una vez más. Si tiene problemas para arrancar su PC por algún motivo, intente arrancar en modo seguro y luego ejecute el comando.

Después de habilitar el sandboxing, verá un proceso de contenido especial llamado MsMpEngCP.exe con menos permisos que se ejecutan junto con el proceso antimalware estándar MsMpEng.exe.

El proceso sandboxed de Windows Defender, como se ve en el Explorador de procesos de Microsoft.

Alguna vez fuimos bastante críticos con el antivirus de Microsoft, pero creemos que las últimas versiones son bastante buenas. Recomendamos usar Windows Defender para mantener su PC segura sin ninguna de las ventas adicionales y errores que el software antivirus de terceros trae a la mesa. Y se incluye de forma predeterminada con Windows 10, por lo que todos los usuarios de Windows finalmente tienen un antivirus sólido.

Solo deseamos que el antivirus de Microsoft sea más agresivo al bloquear el crapware de forma predeterminada.

Crédito de imagen: Gorlov-KV/Shutterstock.com, Microsoft

Rate article
labsfabs.com
Add a comment