El espacio aislado del antivirus de Windows Defender en Windows 10

Microsoft implementado nueva funcionalidad en Windows Defender Antivirus para Windows 10 recientemente que hace que la solución antivirus se ejecute en un espacio aislado en el sistema.

La función, que está disponible en Windows 10 versión 1703 y posteriores, debe habilitarse por el momento, ya que no está activa de forma predeterminada actualmente.



Microsoft espera que el nuevo entorno de ejecución de procesos restrictivo de Windows Defender Antivirus ayude a proteger la aplicación contra ataques dirigidos directamente a ella. Las soluciones antivirus a menudo deben ejecutarse con altos privilegios para proteger todo el sistema contra ataques maliciosos; la necesidad de ejecutar con privilegios elevados hace que los programas antivirus sean objetivos de alto perfil, especialmente si se utilizan ampliamente.

Microsoft declaró que no tiene conocimiento de los ataques dirigidos 'en la naturaleza' contra el antivirus de Windows Defender, pero que los investigadores de seguridad identificaron formas de atacar el antivirus de Windows Defender con éxito en el pasado.

Un entorno de espacio aislado agrega otra capa de protección a la solución antivirus. El malware que tiene como objetivo explotar Windows Defender Antivirus con éxito tendría que explotar una vulnerabilidad en la propia aplicación y encontrar una manera de salir del entorno de espacio aislado que Microsoft creó para el software de seguridad.

La ejecución de Windows Defender Antivirus en una zona de pruebas garantiza que, en el improbable caso de un compromiso, las acciones maliciosas se limiten al entorno aislado, protegiendo al resto del sistema de daños.

Habilitar el espacio aislado del antivirus de Windows Defender

windows defender antivirus sandbox

La zona de pruebas no está habilitada de forma predeterminada en el momento de escribir este artículo. Sin embargo, está disponible en todos los dispositivos que ejecutan Windows 10 versión 1703 o superior.



Propina: si no está seguro de la versión de Windows ejecutar winver.exe en Iniciar para mostrarlo.

Esto es lo que debe hacer para habilitar el sandboxing de Windows Defender Antivirus ahora mismo:

  1. Abra el menú Inicio.
  2. Escriba powershell.exe para mostrar PowerShell como uno de los resultados.
  3. Haga clic con el botón derecho en el resultado y seleccione 'ejecutar como administrador' o mantenga presionada la tecla Shift y la tecla Ctrl antes de seleccionar el resultado. Ambas opciones ejecutan PowerShell con derechos elevados.
  4. Confirme el mensaje de UAC que puede aparecer.
  5. correr setx / M MP_FORCE_USE_SANDBOX 1.
  6. Reinicie Windows.

El comando establece una nueva variable del sistema que le dice a Windows que ejecute Windows Defender Antivirus con funcionalidad de espacio aislado.

Verificar que la caja de arena se está ejecutando es simple: abra el Administrador de tareas de Windows con un toque en Ctrl-Shift-Esc y asegúrese de mostrar todos los detalles (haga clic en más detalles si no es así), y busque en la pestaña Detalles del programa.

Busque MsMpEngCP.exe allí. Si lo ve, la caja de arena está en funcionamiento. El proceso se ejecuta con pocos privilegios y utiliza 'todas las políticas de mitigación disponibles' según Microsoft.

Puede utilizar programas de terceros como Process Explorer también si los prefiere para verificar que la caja de arena está habilitada.

Consulte la publicación del blog de Microsoft en el blog Microsoft Secure para conocer los detalles de implementación y los desafíos que Microsoft enfrentó durante la investigación y el desarrollo.

Ahora tu: ¿Qué solución antivirus utiliza?