Windows Defenderウイルス対策、サンドボックス内実行が可能になる 28
ストーリー by hylom
ついに 部門より
ついに 部門より
headless曰く、
Microsoftは10月26日、Windows 10のWindows Defenderウイルス対策をサンドボックス内で実行できるようになったことを発表した(Microsoft Secure、Neowin、On MSFT)。
Windows Defenderウイルス対策は高い特権で実行されるため、攻撃の標的になりやすい。実際に、細工したファイルをスキャンさせることでリモートからの任意コード実行が可能になる脆弱性などが過去に発見されている。このような脆弱性を狙った攻撃に対しては、Windows Defenderウイルス対策のサンドボックス内実行が有効な防御策となる。
Microsoftでは現在、Windows Insider Program参加者を対象にサンドボックス内実行を順次有効化しており、フィードバック内容を分析して実装を改善していくという。ほかのユーザーもWindows 10バージョン1703以降ではシステム環境変数「MP_FORCE_USE_SANDBOX」を追加して値に「1」をセットしてから再起動すれば、サンドボックス内実行を有効化できる。サンドボックス内実行が有効になった状態では、「MsMpEng.exe」とともに「MsMpEngCP.exe」が実行されるようになる。これらのプロセスの実行状態を確認するには、Process Explorerを使用すればいい。
サンドボックスってどういう構造? (スコア:0)
仮想実行(バーチャル)みたいなものだと思うのですが
ユーザーが介在する実行(このボタンを押したらあなたのファイル全部消えます!みたいな)
処理もシミュレート(模擬実行?テスト)してくれるのでしょうか
Re:サウンドボックスってどういう構造? (スコア:3, 参考になる)
サウンドボックス、、、、所謂、個室のカラオケ屋です。
個室に案内して、好き勝手してもらいます。でも好き勝手すぎると
監視カメラで監視しているので、歌う以外の行為を見つけるとすぐ
出禁にするのが サウンドボックスです。
なお、個室に案内しても歌すら歌わない子が、個室からでてきた
とたんに暴れるとか、個室をぶっ壊す悪い子ちゃんはなぜか
発見することがむずかしいです
Re: (スコア:0)
これは一見ボケ返しのようで、ちゃんと例え話でサンドボックスの解説をしている良コメント。
モデ権あったらプラスしてあげたい
Re: (スコア:0)
Re: (スコア:0)
各ウィンドウも別々のサンドボックスで動かしたり、それぞれのウィンドウを別の端末で動かせるといいな
Re: (スコア:0)
すきなだけ仮想マシン立ち上げてやってください。
Re: (スコア:0)
いまこそWindows10は仮想1ライセンス付加すべきだと本当に思います。
せめてボリュームライセンスでWindows10単体販売してくれ(SAのEnterpriseじゃなくて)
ホストlinux等にして仮想側にライセンス移動というのはOKなんだけど
Hyper-V上で使いたい。
Re: (スコア:0)
まったく同意。せっかくHyper-Vという仕組みがあるのに、ライセンスの問題で自由に使えないのはホントにもったいない。
プラスアルファでいくらか払えば同一PC内で仮想インスタンスを自由に使えるみたいなライセンスが欲しい。
Re: (スコア:0)
デバイス&ドライバー周り抽象化しちゃうから、やるならVHDクローン→アプデ→VHDブートかな?
#容量バカ食いで死ねる
Re: (スコア:0)
UnionFSとかaufsみたいなので透過させようか。
Re: (スコア:0)
Windows Serverを購入してください。
Re: (スコア:0)
UWPはサンドボックス内で動作するので
既に実現してる筈だが
(UWP用APIを使用しない場合はサンドボックス外動作になるが)
Re: (スコア:0)
Windows Updateもサンドボックスで実行してユーザーの環境を破壊しないようにするべきだよね
再起動ごとにWindows Updateまつりになるんだね!
Re: (スコア:0)
>Windows Updateもサンドボックスで実行してユーザーの環境を破壊しないようにするべきだよね
サンドボックスなのかはともかく、毎度のように問題起こしすぎよね。
特に米国本社のCEO(社長)が、今のナデラ氏になってから酷くなった…。
クラウドとかAIもいいけどWindows開発にもしっかり投資してほしい!
Re: (スコア:0)
仮想実行(バーチャル)みたいなものだと思うのですが
それっぽい事は既にやっているのですが、それだけだと充分じゃなかったって話かと。
ここ最近はサンドボックスって言うとざっくり:
1) プロセス自身に早い段階で「これからこういうことしますよ」って宣言をカーネル側にさせる(fooとbar以外のファイルにはアクセスしません、等)
2) プロセスが自分から「サンドボックス」に入る、で本来の仕事をする
3) 予期してなかった同作をしたらカーネルがプロセス強制修了
って仕組みを指す事が多いですね。Linuxならseccomp(2)、OpenBSDはpledge(2) 、FreeBSDだとcapsicum(4)。
仕様を把握しているユーザーランド
お砂場ではお利口さんだけど (スコア:0)
こっそり地下を掘ってスタック破壊を狙ってる悪い子ちゃんが増えそうですね
Re: (スコア:0)
実際、砂場かどうかを判定して、砂場の場合お利口さんになる悪い子は居るようです。
また、砂場側でも砂場じゃないように見せかける工夫をしてるようです。
たとえば、外部との通信を許可するとか。
#電気学会の学会誌より。どの号かは忘れた。
#なお、上記いわく、真の脅威はネット上に溢れているウイルスAではなく、そいつがサーバーからダウンロードするウイルスB,Cだそうで。
#なぜなら、システム管理者はウイルスAの検知および除去だけで満足しちゃうから、だそうで。「俺は防いだぜ!」と。
Re: (スコア:0)
活動された時点でアウトって思うと、Aが活動した時点でアウトよね。
脆弱性αによってDとEをダウンロードして「Dを未然に防ぎました」とかのほうが怖い気もする。
マトリョーシカ (スコア:0)
そしてサンドボックスを実行するサンドボックスが必要に
どうせならWindows Defenderだけとは言わず (スコア:0)
Windows Defender以外の一般アプリケーションもユーザーが任意でsandbox内実行できるようにして欲しいな
UWPがあるだろうって言われそうだけどレガシィなアプリはそういうわけにもいかないので
sandboxieがあるけどOSの更新のたび問題がでる
Re: (スコア:0)
>sandboxieがあるけどOSの更新のたび問題がでる
まさにそれだよね。ナデラになってから急増してる。
来年でナデラがCEOになってから丸5年経つけどね…。
Re: (スコア:0)
InPrivate Desktop「俺をお探し?」
標準で強制有効化になったら (スコア:0)
VMWARE (Workstation) Playerが使えなくなるね
他の仮想化入れてるとHyper-Vと競合してWDAGすら使えんし
Re: (スコア:0)
?
サンドボックスと仮想化は別でしょ
Re: (スコア:0)
Microsoft のサイトの記述を読んでみたけど、サンドボックスに使われている技術が何なのか分からなかった。
でも常識的に考えれば、入れ子に出来ない仮想化技術は使わないよね。多くの企業ユーザが困る。
Re: (スコア:0)
nested vmというものがございましてですね
Re: (スコア:0)
実用的には別だが発想としては同じなんでは?
というかサンドボックッスは計算機資源の仮想化で実現してるし
#マイクロソフトのコンテナは小型の仮想マシンらしい
真田さん (スコア:0)
>ほかのユーザーもWindows 10バージョン1703以降ではシステム環境変数「MP_FORCE_USE_SANDBOX」を追加して値に「1」をセットしてから再起動すれば、サンドボックス内実行を有効化できる。
なんだよぉ真田さん、MSに居るならそう言ってくれたらいいのに。
# 仕込みブーム到来の予感