Как в Windows 10 включить песочницу Defender Application Guard

Как в Windows 10 включить песочницу Defender Application Guard

Львиная доля случаев заражения компьютера вирусами приходится на веб-серфинг, на момент посещения пользователем сайта с вредоносным программным обеспечением. Хорошо, если антивирус вовремя распознает и остановит угрозу, но ведь хорошо известно, что так бывает не всегда. Да и как быть, если подозрительный сайт всё же нужно посетить? В таких случаях здорово могут выручить инструменты виртуализации, тот же VirtualBox или иная похожая программа. Но есть и другой, альтернативный вариант, реализуемый средствами самой операционной системы. В инсайдерских сборках Windows 10 есть такая функция как Windows Defender Application Guard, позволяющая запускать штатные браузеры Internet Explorer и Microsoft Edge в изолированной виртуальной среде, тем самым предотвращая проникновении вирусов в систему. Все данные, получаемые браузером при посещении сайтов сохраняются в особый контейнер, который по закрытии обозревателя автоматически очищается.

Как в Windows 10 включить песочницу Defender Application Guard

Оценить новое средство дополнительной защиты могут пользователи Windows 10 Enterprise не младше сборки 16227 и Windows 10 Pro не младше сборки 17063. Также важными условиями для корректной работы браузерной песочницы являются:

1. 64-битная операционная система.
2. Поддержка аппаратной виртуализации.
3. Наличие на компьютере как минимум 8 Гб оперативной памяти.

Теперь давайте посмотрим, как включить песочницу. Командой

или через Панель управления откройте апплет включения/отключения компонентов Windows, найдите в списке пункт Windows Defender Application Guard и отметьте его флажком.

По завершении установки компонента вам будет предложено перезагрузить компьютер. Активировать компонент можно также с помощью консоли PowerShell, выполнив в ней такую команду:

А теперь представим, что вам нужно пошариться на неком подозрительном сайте. Откройте Microsoft Edge, нажатием на три точки в правом верхнем углу вызовите его меню и выберите в опцию New Application Guard window (Открыть приложение в новом окне).

Сайт будет открыт в новом окне, при этом в левом верхнем углу окна появится оранжевая “кнопка”, указывающая на активность Defender Application Guard.

Если у вас Windows 10 Enterprise и при этом вы намерены пользоваться песочницей на постоянной основе, можете занести доверенные сайты в белый список. Для этого вам нужно перейти в редакторе локальных групповых политик по цепочке настроек Конфигурация компьютера → Административные шаблоны → Сеть → Сетевая изоляция, выбрать справа политику “Домены корпоративных ресурсов, расположенные в облаке” и добавить в открывшемся окне доверенные сайты через вертикальный разделитель как показано на скриншоте.

Есть также и другие политики, позволяющие управлять функцией Application Guard. Если вы ими заинтересуетесь, подробные сведения об их применении можете получить на официальной странице компании:
↴

Защитник Windows 10 может работать в изолированной среде. Как включить поддержку песочницы

Поместив Защитник Windows в песочницу, Microsoft максимально усложнила разработчикам вредоносных программ задачу получения доступа к критически важным системным модулям, потому что изолированные приложения не могут взаимодействовать с остальной частью системы и имеют крайне ограниченный доступ к ресурсам памяти и к файловой системе.

Внедрение среды с ограничениями выполнения процессов является реакцией Microsoft на многочисленные рекомендации от исследователей безопасности, которые посчитали антивирус, обладающий повышенными привилегиями, чрезвычайно опасным вектором атаки.

Защитник Windows использует права администратора для постоянного мониторинга и блокировки вредоносных атак. Однако, данная особенность системного решения безопасности делает продукт идеальной целью для киберпреступников, которые ищут простой способ для получения повышенных привилегий во взломанной системе.

За счет реализации поддержки запуска в песочнице для Защитника Windows, Microsoft хочет гарантировать, что злоумышленники, которые сумеют провести успешную эксплуатации уязвимостей антивируса с целью исполнения произвольного кода, не смогут получить повышенные привилегии.

Запуск Защитника Windows в виртуализированной среде гарантирует, что даже в маловероятном случае взлома, злоумышленники будут ограничены изолированной средой и не смогут нанести ущерб остальной части системы.

Данная мера является частью длительной стратегии Microsoft по обеспечению защиты от атак с помощью инновационных механизмов безопасности. Защитник Windows и остальные компоненты Advanced Threat Protection Защитника Windows теперь получили интеграцию с другими компонентами безопасности из Microsoft 365 для создания единой системы Microsoft Threat Protection.

Как включить поддержку песочницы

Новая функция запуска Защитника Windows в изолированной среде доступна всем пользователям Windows 10 (версия 1703 и выше), но ее необходимо включить вручную. Для этого нужно выполнить следующие действия:

• Нажмите меню Пуск и наберите cmd, затем выберите Командная строка > Запуск от имени администратора.
• Выполнить следующую команду:

После того, как песочница включена, с помощью утилиты Process Explorer можно увидеть, что процесс MsMpEngCP.exe (content process) работает вместе с антивирусной службой MsMpEng.exe.

Как отключить поддержку песочницы

Если вы обнаружите, что после включения режима песочницы ваша система работает медленнее, возникает слишком много ложных срабатываний, или у вас есть проблемы с доступом к файлам или приложениям в вашей системе, вы можете отключить поддержку песочницы. Для этого нужно выполнить следующие действия:

• Нажмите меню Пуск и наберите cmd, затем выберите Командная строка > Запуск от имени администратора.
• Выполнить следующую команду:

Заключение

Помимо новой функции песочницы, Microsoft ранее добавила в Windows 10 ряд других мер безопасности (улучшения в версиях 1903, 1809, 1803, 1709), чтобы обеспечить защиту пользователей от потенциальных атак, начиная от защиты от эксплойтов и сетевой защиты, и заканчивая встроенной песочницей Windows Sandbox, аппаратной изоляцией и контролируемым доступом к папкам.

Как включить Application Guard в Windows 10

В последних обновлениях Windows 10 было добавлено большое количество полезных функций улучшающих безопасность. Недавно мы рассказывали о защите от шифровальщиков Windows 10 . На днях появилась еще одна интересная функция, которая называется «Application Guard« . После ее активации система будет создавать изолированную среду для бразеров Edge и Internet Explorer. Если вы используете один из этих браузеров, то для улучшения безопасности Windows я рекомендую включить Application Guard. В этой статье я покажу как включить Application Guard и как использовать.

Что такое Application Guard

Функция защитника Windows «Application Guard» обеспечивает защиту от целенаправленных угроз с использованием технологии виртуализации Hyper-V. Онa добавляет специальный виртуальный уровень между браузером и ОС, предотвращая доступ веб-приложений и браузера к данным, хранящимся на диске и в памяти.

До Windows 10 build 17063 эта функция была доступна только для редакции Enterprise. Теперь она также доступна для пользователей Windows 10 Pro. Если вы используете Windows 10 Pro build 17063 и выше, вы можете попробовать его в действии .

Системные требования «Application Guard» на момент написания статьи:

• Windows 10 Professional, Build: 17053 (или более поздняя версия)
• Компьютер должен поддерживать виртуализацию; Hyper-V (некоторые старые ПК могут не поддерживать Hyper-V)
• Защитник Windows должен быть активирован

В финальной версии Windows 10 Redstone 4 некоторые из этих требований будут не актуальны.

Как включить Application Guard

Для включения Application Guard в Windows 10 выполните следующие действия:

1. Сочетанием клавиши «Win + R» откройте окно «Выполнить» и введите «optionfeatures.exe».
2. Найдите в списке «Windows Defender Application Guard» и установите флажок рядом с ним.
3. Нажмите «OK» и дождитесь завершения установки.
4. После чего перезапустите систему.

Как использовать Application Guard

1. Откройте Edge и нажмите на меню «Три точки» в правом верхнем углу.
2. Выберите пункт «Новое окно Application Guard».

Вы увидите заставку, после которой откроется новое окно Edge с включенным защитником «Application Guard».

Скоро заполучу русскую версию и обновлю скрины. А пока только это.

Windows Defender теперь работает в режиме песочницы. Как его включить

В конце октября компания Microsoft объявила о том, что её встроенный в Windows 10 антивирус Windows Defender («Защитник Windows») может работать в изолированной программной среде. Это значит, что, если вдруг он будет скомпрометирован, доступ к остальной части операционной системы останется закрытым. Фактически Windows Defender стал первым антивирусом, который способен работать в так называемой песочнице. Этим пока не может похвастаться ни один другой антивирусный продукт.

Что такое «песочница» и почему это так важно

Обычно этим термином обозначают специально выделенную среду для безопасного запуска программ. Для этой цели выделяется ограниченный набор системных ресурсов и разрешений. Если файл или ПО окажутся вредоносными, операционная система и компьютер по-прежнему будут невредимыми. Такая практика применяется многими платными антивирусами, хотя сами они не работают в изолированной среде. Режим песочницы есть в браузерах Edge и Chrome, а также в операционной системе macOS на уровне ядра. Это значительно затрудняет задачу злоумышленникам атаковать компьютер жертвы. Даже если они подберут эксплойт, например, для Chrome, им всё равно придётся ломать голову над тем, как вытащить сам браузер из песочницы, поскольку без этого атаковать напрямую операционную систему у них не получится.

По словам Microsoft, реализация запуска Windows Defender в безопасной среде стало возможным благодаря отчётам различных исследователей по безопасности. Они определили потенциальные способы использования злоумышленниками уязвимостей в Windows Defender, которые способствуют произвольному выполнению кода. Несмотря на то, что на практике подобных случаев ещё не было, компания серьёзно отнеслась к таким угрозам.

Запуск антивируса в песочнице гарантирует, что различные вредоносные действия будут ограничены изолированной средой, защищая операционную систему от вреда. Работает это следующим образом. Основной антивирусный процесс Windows Defender передаёт контент процессу, работающему в изолированной среде с низким уровнем привилегий. В случае, если вредоносный файл сможет его скомпрометировать, доступ к остальной части системы будет закрыт. Соответственно, атака на этом завершится.

Зачастую основной проблемой при использовании песочницы является заметное снижение производительности. В Microsoft уверяют, что им удалось избежать этой проблемы благодаря тому, что количество взаимодействий между песочницей и привилегированным процессом было сведено к минимуму. Эти взаимодействия осуществляются только в особо важные моменты.

Как активировать песочницу для Windows Defender

На текущий момент Microsoft тестирует новую функцию в Windows 10 Insider Preview. В компании до сих пор не уверены в стабильной работе своего антивируса в песочнице, поэтому по умолчанию она отключена.

Внимание! Следующие действия могут вызвать ошибки в работе антивируса.

Чтобы включить песочницу для Windows Defender, необходимо запустить командную строку или PowerShell от имени администратора. Далее следует ввести команду setx / M MP_FORCE_USE_SANDBOX 1 и перезагрузить компьютер. Это работает в Windows 10 (1703) и более поздних версиях системы.

Если вы хотите вернуть всё обратно, выполните ту же команду, но замените «1» в конце на «0» и снова перезагрузите компьютер. Кстати, очень важно именно перезагрузить компьютер после внесения этих изменений, поскольку, если его выключить, а затем снова включить, данный параметр может не сохраниться, и песочница не запустится. Если у вас по какой-либо причине возникнут проблемы с загрузкой системы, попробуйте загрузиться в безопасном режиме и снова выполнить команду.

Чтобы проверить, работает песочница или нет, нужно открыть список запущенных процессов, например, в программе Process Explorer. Если рядом со стандартным Antimalware MsMpEng.exe вы увидите процесс MsMpEngCP.exe с меньшим количеством привилегий, значит изолированная среда для Windows Defender активирована.

Когда-то мы скептически относились к «Защитнику Windows», особенно на начальном этапе его развития. Сегодня это уже полноценный антивирус, который как-то незаметно вытеснил сторонние антивирусные продукты. Он достаточно надёжный и неплохо выполняет свою работу. Единственное, чего, пожалуй, ему не хватает, это быть чуточку более агрессивным по отношению ко всякого рода вредоносным программам со встроенными рекламными модулями и прочим программным обеспечением, которые принудительно устанавливаются в систему. Но и тут есть маленький лайфхак. Оказывается, можно активировать скрытую функцию, которая включает эту самую защиту. Достаточно ввести команду Set-MpPreference -PUAProtection 1 в PowerShell от имени администратора.

Если защитник Windows отключен как его включить

Компания Майкрософт разработала собственный антивирус – Defender, который распространяется как часть ОС Windows 10. К сожалению, он не может похвастаться такими обширными базами, как платные конкуренты, но обычным пользователям его вполне хватает. Если после обновления антивирус оказался отключен, вы можете легко запустить его вручную. В данной статье описывается, как включить защитник Windows 10. В конце статьи вы можете посмотреть видео с инструкциями по настройке Защитника для 7 и 8 версий.

Так как Defender является встроенной программой, вы можете управлять ее работой с помощью меню конфигураций Виндовс 10. Если же они недоступны, вам потребуется активировать соответствующую службу.

Настройки системы

1. Вызовите меню «Пуск». Для этого нужно нажать кнопку с логотипом Виндовс в левом нижнем углу экрана. Вы также можете воспользоваться горячей клавишей Win .
2. Запустите меню «Параметры».
3. В открывшемся окне нужно перейти в раздел «Обновление и безопасность».
4. С помощью панели закладок слева откройте категорию «Защитник Windows» («Windows Defender» в англоязычной версии).
5. Здесь вы можете включить 3 опции: Защита в реальном времени, Облачная Защита и Автоматическая отправка образцов. Непосредственно на работу антивируса влияет только 1-ый параметр, остальные же помогают программе развиваться и совершенствоваться.

Если у вас есть какие-то файлы, которые могут быть удалены антивирусом (кейгены, кряки, активаторы), их можно защитить.

Для этого нажмите «Добавить исключение». Здесь вы можете исключить какие-то конкретные файлы и папки, или запретить для проверки целые расширения и процессы.

В самом низу окна находится гиперссылка «Открыть Защитник Windows», которая позволяет показать рабочее окно Defender. Здесь вы можете проследить за ходом обновлений и проверок, а так же назначить внеплановую проверку.

Запуск службы

Управление службами в Windows 10 осуществляется так же, как и в предыдущих версиях — через специальный диспетчер. Чтобы вызвать его, сделайте следующее:

1. В поисковой строке внизу экрана введите «Службы».
2. Запустите найденную утилиту.
3. В представленном списке вам необходимо найти объект с названием «Служба Защитника Windows» (может отображаться как «windefend»).
4. Дважды кликните по ней, чтобы открыть меню настроек.
5. В графе «Тип запуска» нужно выставить значение «Автоматически».
6. Щелкните Запустить , чтобы активировать работу Defender.
7. Нажмите Применить и Ok , чтобы сохранить изменения и выйти.

Соответственно, если вам нужно отключить работу программы в Виндовс 10, остановите службу и установите тип запуска: «Отключен».

Редактор групповой политики

Некоторые пользователи Windows не могут поменять параметры службы windefend. Вы можете увидеть сообщение «Эта программа заблокирована групповой политикой».

Если вы также столкнулись с этой проблемой, необходимо изменить параметры групповой политики. Для разных версий ОС существуют разные методы.

Иногда подобная блокировка может свидетельствовать о заражении ПК вирусами. Поэтому первым делом, если вы не знаете причины появления блокировки, следует проверить компьютер антивирусом.

Решение для пользователей 8 и 10 версий

1. Вызовите диалоговое окно «Выполнить». Это делается с помощью сочетания клавиш Win + R .
2. В открывшемся небольшом окошке введите «gpedit.msc» и нажмите Enter .
3. Откройте раздел «Конфигурация компьютера».
4. Перейдите в папку «Административные шаблоны», а затем – «Компоненты Windows».
5. Найдите раздел «Endpoint protection» (или «Защитник Windows»).
6. Откройте «Защита в режиме реального времени».
7. Дважды кликните по записи «Выключить защиту в реальном времени».
8. Если напротив пункта «Включен» установлена отметка, ее требуется поставить на «Отключен» или «Не задано».

Важно! Этот параметр выключает работу Defender. Его нужно активировать, если вы хотите отключить антивирус, и наоборот. Не перепутайте!

Решение для пользователей 7 версии

1. Запустите программу «Выполнить», например, с помощью Win + R
2. Наберите «regedit», затем нажмите Enter
3. Найдите HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows Defender
4. Удалите значение для параметра DisableAntiSpyware.
5. Закройте реестр и перезагрузите систему.

Дополнительные сведения по настройкам Защитника в реестре можете почерпнуть здесь: https://support.microsoft.com/ru-ru/kb/927367

Видео по теме защитника Windows 7

Видео по теме защитника Windows 8

«Песочница» – изолированный режим антивируса «Защитник Windows»

Читайте о том, как включить изолированную среду для «Защитника Windows». А также, почему «Песочница» важна с точки зрения обеспечения безопасности.

Введение

На борьбу со зловредными программами и элементами вредоносного кода направлены усилия антивирусного программного обеспечения. В информационной сети «Интернет» представлены продукты различных разработчиков, нацеленные на создание безопасной среды для хранения и обработки данных.

Однако не только узкоспециализированные компании направляют свои усилия на создание современных защитных инструментов, но и отдельные технологические гиганты, одним из которых, безусловно, является корпорация «Microsoft», системные программные продукты которой составляют основное ее ядро, ведут собственные разработки в этом направлении. Прогрессивные технологии, применяемые в программном процессе, помогли разработчикам корпорации создать не только лучшие решения в своем классе, но и выделить новый рынок в программной среде. Например, операционная система «Windows» стала новатором среди систем управления компьютерными устройствами с дружественным графическим, ориентированным на требования и предпочтения конечного потребителя, интерфейсом, и положила начало новому стандарту программ.

Для улучшения общих характеристик операционной системы, повышения уровня ее устойчивости и поддержки высоких параметров безопасности, корпорация «Microsoft» применяет систему усовершенствований, одним из которых является расширение функциональных возможностей «Windows», направленное на обязательное применение встроенных защитных решений собственной разработки, представленных в едином системном комплексе. Одним из таких нововведений выступает новая способность «Защитника Windows» («Windows Defender») использовать для своего функционирования изолированную программную среду «Песочница».

Благодаря такой разработке антивирусное решение «Windows Defender» превращается в полноценный защитный инструмент, который при наличии угроз безопасности или дискредитации антивирусной среды не позволит нанести вред устройству и всем доступным данным, мгновенно ограничивая доступ к остальной части системы. Использование «Песочницы» позволяет встроенному «Защитнику Windows» поднять планку безопасности на новый уровень и удерживать лидерство среди других вариантов защитных решений.

Запуск «Песочницы» гарантирует, что компьютерное устройство пользователя не будет скомпрометировано, активация самопроизвольного исполнения вредоносного кода и другие зловредные действия будут ограничены только данной изолированной средой, предоставляя загруженным файлам и приложениям возможность функционировать лишь с небольшим количеством разрешений, тем самым полностью защищая систему от развития любых негативных сценариев.

Способ включения изолированной среды для «Защитника Windows»

Для включения программной изолированной среды в операционной системе «Windows 10», которая по умолчанию не активна, потребуется воспользоваться возможностями приложения «Командная строка» или более гибкого средства автоматизации «Windows PowerShell».

Примечание. Запуск стандартного антивирусного защитного приложения в «Песочнице» возможен в операционной системе «Windows 10» версии «1703» или новее.

Для реализации операции запуска «Windows Defender» в изолированной среде с целью снижения риска применения уязвимостей стандартного антивируса для последующего заражения системы, необходимо установить переменную среду на уровне компьютера с последующим его перезапуском.

Поэтому сначала откройте приложение «Командная строка» или «Windows PowerShell» с правами администратора. Например, нажмите в нижнем левом углу рабочего стола кнопку «Поиск», расположенную на «Панели задач» рядом с кнопкой «Пуск». Затем в поле поискового запроса введите фразу «командная строка». В разделе «Лучшее соответствие» будет представлено искомое приложение. Нажмите на нем правой кнопкой мыши и во всплывающем меню выберите раздел «Запуск от имени администратора». Или выберите соответствующую строку в дополнительном правом меню поискового окна.

«Windows PowerShell» можно вызвать нажатием правой кнопки мыши на кнопку «Пуск» или совместной комбинацией клавиш «Windows + X», каждое из которых задействует открытие всплывающего меню. Теперь из перечня представленных действий необходимо выбрать раздел «Windows PowerShell (администратор)».

Нажмите кнопку «Да» во всплывающем системном сообщении службы контроля учетных записей «Разрешить этому приложению вносить изменения на вашем устройстве?» и приложение обработчика команд «Windows» будет открыто.

Теперь в окне приложения введите следующую команду «setx /M MP_FORCE_USE_SANDBOX 1» (без кавычек) и нажмите на клавиатуре клавишу «Ввод». Дождитесь исполнения команды, а затем перезагрузите свое устройство, чтобы внесенные изменения вступили в силу.

После того, как «Песочница» будет включена, пользователи смогут увидеть запущенный процесс «MsMpEngCP.exe», работающий рядом со службой «MsMpEng.exe», в соответствующем списке приложения «Диспетчер задач». При желании, пользователи могут отключить функцию «Песочницы» и вернуться в исходное состояние, заново набрав выше представленную команду и заменив числовое значение с «1» на «0». Команда будет иметь следующий вид «setx /M MP_FORCE_USE_SANDBOX 0». Затем также будет необходимо выполнить перезагрузку системы устройства для применения заданных изменений.

Почему «Песочница» важна с точки зрения обеспечения безопасности

Антивирусное программное обеспечение изначально было разработано с целью обеспечения всесторонней безопасности компьютерного устройства, информации, хранящейся на нем, и сетевых соединений путем проверки всей системы на предмет наличия уязвимостей и присутствия вредоносного содержимого, а также противодействия всевозможным угрозам в режиме реального времени. Таким образом, было важно запустить программу с высокими привилегиями. Такое разрешение сделало антивирус потенциальным кандидатом для вредоносных атак (особенно данное утверждение касается уязвимостей стандартного приложения «Защитник Windows», существующих в анализаторах содержимого и способных вызывать незапланированное исполнение произвольного кода).

Запуск «Защитника Windows» в «Песочнице» значительно снижает уязвимость системы, поскольку серьезно усложняет злоумышленникам процесс доступа к критически важным системным модулям. Кроме того, использование «Windows Defender» в такой безопасной изолированной среде ограничивает проникновение вредоносного кода в случае потенциального инфицирования или нарушения целостности защиты системы.

Тем не менее, все эти действия имеют прямое отношение к общей производительности. Поэтому, чтобы гарантировать, что производительность не ухудшится, корпорация «Microsoft» применила новый подход. Главным образом он направлен на минимизацию количества взаимодействий между «Песочницей» и привилегированным процессом.

Компания также разработала особую модель, которая хранит максимальное количество данных защиты в файлах с непосредственным отображением в памяти, которые доступны только для чтения во время исполнения. Такое действие гарантирует, что влияние дополнительной нагрузки на систему будет минимальным. Кроме того, данные защиты размещаются в нескольких процессах. Это оказывается полезным в тех случаях, когда и привилегированный процесс, и процесс изолированной программной среды, требуют получения доступа к сигнатурам и другим метаданным обнаружения и исправления.

Также важно отметить, что процесс «Песочница» не позволяет самостоятельно запускать операции, способные оказывать влияние на процессы за пределами изолированной среды. Поэтому применение в изолированной среде «Защитника Windows» помогает реализовать высокие гарантии надежности и обеспечить детальный контроль за процессами.

Заключение

Информация имеет широкое массовое распространение и вопрос ее сохранности и защиты приобретает важнейшее значение. Благодаря применению современных версий антивирусного программного обеспечения удается значительно снизить риск ее повреждения, кражи или уничтожения, а также потенциального использования для совершения противоправных действий разнообразными злоумышленниками.

Новая разработка корпорации «Microsoft», позволяющая использовать изолированную программную среду для запуска стандартного антивируса «Windows Defender», поможет существенно снизить риск заражения системы через возможные уязвимости приложения.

Используя полученные знания, пользователи всегда смогут запустить изолированную среду или отключить ее при необходимости за несколько простых шагов.