Microsoft laat Windows Defender deels in sandbox draaien

Microsoft maakt het draaien van een deel van Windows Defender in een sandbox mogelijk, wat de beveiliging van het OS ten goede moet komen. Het standaard plaatsen van Defender in de sandbox komt eerst beschikbaar voor Windows Insiders.

Volgens Microsoft is Windows Defender het eerste complete antiviruspakket dat in een sandbox kan draaien en dit 'legt de lat hoger' voor beveiliging. Het softwarebedrijf brengt de aanpassing naar Windows Insiders, maar wie versie 1703 van Windows 10 of latere versies draait, kan het ook forceren met de environmental variabele 'M MP_FORCE_USE_SANDBOX 1' die door middel van setx te plaatsen is. Bij Insiders-versies van Windows staat het standaard aan.

Microsoft claimt dat het in een sandbox plaatsen van het beveiligingsonderdeel moeilijk was, met name omdat de prestaties hier flink onder kunnen lijden, afhankelijk van de implementatie. Uit feedback bleek volgens het bedrijf wel dat hier behoefte aan was. Beveiligingspakketten draaien met verhoogde privileges om diepe scans op alle onderdelen uit te kunnen voeren, maar dit maakt ze ook tot geliefde doelwitten van kwaadwillenden. Een sandbox moet voorkomen dat ze bij een aanval buiten die applicatie schade kunnen aanrichten.

Microsoft heeft hiervoor de functionaliteit van Defender onderverdeeld in eigenschappen die absoluut privilege nodig hebben en onderdelen waarbij dat niet geldt en die dus in een sandbox kunnen. Daarnaast moest de interactie tussen die twee resulterende delen geminimaliseerd worden en moest voorkomen worden dat beide delen teveel resources innemen.

Zowel het gepriviligeerde deel als de sandboxed processen moeten toegang hebben tot malwarehandtekeningen en andere metadata, maar Microsoft wilde duplicatie van die gegevens voorkomen. Uiteindelijk koos het bedrijf voor een model waarbij data in memory-mapped bestanden is geplaatst, die tijdens runtime read-only zijn. Tenslotte moest Microsoft voorkomen dat een geslaagde aanval op de sandbox ertoe zou kunnen leiden dat malware een desinfectieprocedure met hogere rechten zou kunnen misbruiken.

De test van de implementatie is een voorbeeld van het voordeel dat Microsoft heeft van de integratie van zijn beveiligingspakket in Windows. Volgens Kaspersky maakte Microsoft in het verleden misbruik van deze positie, door concurrerende anti-malwarepakketten dwars te zitten en zijn eigen av-suite te bevoordelen. Kaspersky trok de bezwaren vorig jaar in nadat Microsoft wijzigingen doorvoerde.

Windows Defender Sandbox — Het in een sandbox geplaatste *contentprocess* *MsMpEngCP.exe* draait naast antimalware-service *MsMpEng.exe*

Reacties (65)

ShellGhost 29 oktober 2018 11:27

Open een Elevated command en kopie/paste het volgende command: setx /M MP_FORCE_USE_SANDBOX 1
Reboot en Defender draait in sandbox mode.

Chicken @ShellGhost • 29 oktober 2018 11:31

En als je weer terug wilt naar niet Sandbox ivm performance problemen? Is het dan hetzelfde command met een '0' op het einde?

ShellGhost @Chicken • 29 oktober 2018 11:39

Ja.

Username3457829 @ShellGhost • 30 oktober 2018 17:45

Werkt dit ook met een andere AV ernaast? Ik gebruik namelijk Defender als 2e lijns scanner naast m'n 3rd party AV.

En zijn er al gebruikers die na een dag testen wat ervaringen kunnen delen?

Cerberus_tm

@ShellGhost • 29 oktober 2018 22:54

En blijft deze verandering bewaard nadat je de computer opnieuw hebt opgestart?

ShellGhost @Cerberus_tm • 30 oktober 2018 08:11

Ja.

Cerberus_tm

@ShellGhost • 30 oktober 2018 08:38

OK mooi.

technopeuter 29 oktober 2018 12:05

Voordat de AV-supporters los gaan. MS Defender heeft het laatste jaar dezelfde score gehaald op AV-prestaties als andere AV-oplossingen. Daarnaast is het icm Intune (centrale management) even duur als die andere oplossingen. Dze stappen maken andere AV-oplossingen best overbodig.
https://www.av-test.org/en/antivirus/home-windows/
https://www.tomsguide.com...defender,review-2209.html

Bor Coördinator Frontpage Admins / FP Powermod @technopeuter • 29 oktober 2018 12:29

Als je beter kijkt zie je dat je dit niet zo direct kunt zeggen. Defender moet meerdere producten in die test voor zich laten, waaronder Bitdefender, Avira, Kaspersky en zelf McAfee. Andere tests laten vaak hetzelfde beeld zien.

Er zit nog steeds verschil in detectie maar ook in systeembelasting als ook de extra features die veel andere AV oplossingen bieden zoals een personal firewall etc. Wat betreft het " laatste jaar " wat je aangeeft; dit wordt niet onderschreven door de links die je zelf aangeeft. Bv in maart / april scoorde Defender al niet hoog genoeg om in de top 5 mee te doen of om het predicaat "top product" in de wacht te slepen. Juist wanneer je over een langere periode kijkt zie je een ander beeld bij veel scanners.

Bij tomsguide komt Defender al helemaal niet voor wanneer je kijkt naar " Best Antivirus Software and Apps" en blijkt de 3.5 die Defender daar scoort behoorlijk aan de lage kant, een hele punt onder de meer gevestige top spelers.

In deze test zie je dat Defender het hoogste aantal false positives heeft in de hele test, ook dat is iets om mee te laten wegen: https://www.av-comparativ...september-2018-factsheet/
23 false positives tegenover 0 is een behoorlijk verschil.

Het is dus niet zo zwart-wit als je hier boven doet geloven. Defender is op de goede weg maar in veel gevallen zijn de prestaties nog lager dan bij bv Bitdefender, Kaspersky etc.

Je pakt hier ook nog eens signature gebaseerde scans. Defender kent afaik geen heuristics.
Daarbij is Intune een enterprise oplossing en niet geschikt voor de thuisgebruiker.

[Reactie gewijzigd door Bor op 22 juli 2024 23:25]

Threatman @Bor • 29 oktober 2018 20:27

Geen heuristics - deze misvatting kom ik wel vaker tegen. Defender AV op W10 (en SCEP voor zakelijk gebruik vanaf W7) bevat al jaren Heuristics als onderdeel van Real Time Protection. De engine wordt voorzien van "intelligentie" die verkregen wordt door o.a. machine learning modellen die op belachelijk grote schaal gebruikt worden voor analyse. Als deze lokale intelligentie niet resulteert in een score die hoog genoeg is voor een conclusie wordt de cloud geraadpleegd. Dit hele proces beslaat milliseconden tot enkele seconden. Dit werkt thuis standaard ook zo, geen management software vereist.

Voor (groot)zakelijk gebruik is er Windows Defender ATP, dat gaat nog veel verder (o.a. EDR) en mag je in de vergelijking meenemen tegenover de zakelijke suites van andere leveranciers.

De moderne Defender is niet te vergelijken met de anti-spyware van vroeger, idem voor MSE. De zeer goede / sterk verbeterde testscores zijn het resultaat van de gedane investeringen (kijk met name goed naar de afgelopen 12 maanden versus de periode hiervoor) en het sandboxed draaien is een behoorlijke prestatie die mijn inziens niet onderschat mag worden.

Van:
https://docs.microsoft.co...r-antivirus-in-windows-10

Windows Defender Antivirus includes:

Cloud-delivered protection for near-instant detection and blocking of new and emerging threats. Along with machine learning and the Intelligent Security Graph, cloud-delivered protection is part of the next-gen technologies that power Windows Defender Antivirus.

Always-on scanning, using advanced file and process behavior monitoring and other heuristics (also known as "real-time protection")

Dedicated protection updates based on machine-learning, human and automated big-data analysis, and in-depth threat resistance research

Verplichte disclaimer: Ik werk bij Microsoft.

batjes

Microsoft Windows 10 Pro NL
Besturingssystemen
Microsoft Windows
Microsoft Windows 10 Home NL
Microsoft

@Bor • 29 oktober 2018 16:13

Jaren geleden toen MS Security Essentials introduceerde (wat Defender is), scoorde het hoog in de AV lijstjes.

Tot ineens MSE af begon te zakken en laag begon te scoren. Toen heb ik de tests eens uitgezocht. Bleek dat een aantal tests gedaan werden op Windows 7, met UAC uitgeschakeld en een half jaar aan ontbrekende updates.

Waar de andere AV pakketten ook lekken en gaten opvangen die al lang gefixt zijn, doet Defender dit zo goed als niet. Volgens mij hebben ze 2 jaar geleden voor het eerst een fix ingebouwd voor een exploit die al gefixt was in Windows.

Ik ben toen zelf opgehouden met te veel vertrouwen op de AV tests.

Die test van jou ook:

Testcase 1: Over the year we evaluate several tens of thousands malicious URLs.

Advanced Threat Protection is een bijtaak voor Defender, Windows heeft hier namelijk de SmartScreen Filter voor, alhoewel dat nu ook onder de Defender paraplu valt, maar nog wel als los onderdeel in Windows werkt. Desalniettemin, lekker eerlijk om Defender daar op af te rekenen.

Defender leunt op overige beveiligingen in Windows waar de andere AV pakketten dat niet of minder doen.

Bor Coördinator Frontpage Admins / FP Powermod @batjes • 29 oktober 2018 16:33

De scanmethode is voor alle scanners gelijk om juist een eerlijke vergelijking te houden. De andere "overige beveiligingen" in Windows gelden soms ook voor 3rd party scanners gezien ze simpelweg altijd aanwezig en (default) actief zijn. Zo is smartscreen bij een 3rd party virusscanner ook gewoon actief afaik. Waarom zou het geen eerlijke test zijn wanneer een ander product de malware dan wel eerder weet te detecteren. Smartscreen hanteert voor een groot deel gewoon een blacklist van url's waarvan bekent is dat ze malware aanbieden.

Waar de andere AV pakketten ook lekken en gaten opvangen die al lang gefixt zijn, doet Defender dit zo goed als niet.

Dat is toch gewoon een serieus nadeel? Het gaat hier om malware samples over het algemeen, niet direct over exploits.

[Reactie gewijzigd door Bor op 22 juli 2024 23:25]

Cergorach @batjes • 29 oktober 2018 16:33

Jaren geleden toen MS Security Essentials introduceerde (wat Defender is), scoorde het hoog in de AV lijstjes.

MSE deed het bijzonder goed, totdat MS niet het op hetzelfde niveau bijhield als een aantal andere AV producenten. De reden zou je kunnen zoeken achter de heissa op dat moment, men begon over niet eerlijke concurrentie, rechtszaken, etc. Gezien MS toen al eens op z'n donder gehad over IE, begrijp ik goed waarom ze niet hebben gekozen om het op het hoogste niveau te behouden.

MS Defender is niet slecht, het is slechter geweest. Maar de toppers zoals Kaspersky en Bitdefender zijn ook niet zo fijn in de praktijk als je denkt, ik heb echt enorm veel issues gehad met Kaspersky en websites/certificaten, ik ben niet de enige. Bitdefender leek initieel een betere keuze, maar die rammen echt van alles door je strot, verplichte nieuwe versie installeren (die niet werkt op alle machines), vervolgens steeds onduidelijker wezen wat hoe beschermd wordt en alles automatisch aan willen zetten. Ik zit nog even mijn licentie uit, maar ik ga ook maar eens Nod32 sinds vele jaren proberen...

AV is tegenwoordig de 'lesser van multiple evils' uitzoeken...

SubSpace

@Cergorach • 30 oktober 2018 08:17

Ook met NOD32 heb ik een tijdje last gehad met bepaalde https verbindingen. Gelukkig was dit in de volgende minor release opgelost toen 🙂
Avira komt iets consistenter goed uit de detectie- en false positive-tests (av comparative), maar dat verschil is vrij minimaal.

Tourmaline @Bor • 29 oktober 2018 14:42

Inderdaad, ik ga mijn virusscanner en malware scanner nog niet verruilen voor Defender.

GameNympho @Tourmaline • 30 oktober 2018 01:19

Me2, ik heb het gelijk bij installatie uitgeschakeld en mijn keuzes geinstalleerd

kr4t0s @technopeuter • 29 oktober 2018 12:58

Voor betere endpoint protection kun je beter kijken naar:

Palo Alto Networks Traps (https://www.paloaltonetwo...secure-the-endpoint/traps) of
Cylance (https://www.cylance.com/)

Traps heeft een gigantische sandbox (in Amsterdam) en kijkt naar het gedrag in plaats van signatures. Waardoor 0-days attacks ook geblokkeerd worden.

[Reactie gewijzigd door kr4t0s op 22 juli 2024 23:25]

Bor Coördinator Frontpage Admins / FP Powermod @kr4t0s • 29 oktober 2018 13:05

Traps is een interessante oplossing maar wanneer ik daar naar tests kijk zie ik below industry average results en zelfs de slechtste score in de lijst, behoorlijk onder Defender zelfs, met een 4/6 op protection: AV-Tests.org

Ik weet dat Traps meer biedt dan signature based scanning maar deze resultaten vallen mij toch erg tegen.

[Reactie gewijzigd door Bor op 22 juli 2024 23:25]

kr4t0s @Bor • 29 oktober 2018 16:37

Ik ken die resultaten. Dat heeft meerdere oorzaken, bijvoorbeeld Gartner Magic Quadrant met een oude Traps versie getest. En blijkbaar was Traps ook niet goed geconfigureerd bleek later. Traps staat er deze maand weer minder voor dan vorige maanden. Dus dat schiet bij AV-test ook op en neer blijkbaar. Ik gebruik zelf Traps en niks te klagen over. Client gebruikt weinig resources update gewoon op de achtergrond zonder pop-ups of andere toestanden.

Sentinel One en Carbon Black zijn ook "next-gen" anti-virus die veel minder op signatures gebaseerd zijn.

Bor Coördinator Frontpage Admins / FP Powermod @kr4t0s • 29 oktober 2018 16:40

De test die ik aanhaal is uitgevoerd met Traps 5.0, gewoon de meest recente versie zo te zien. Dat een dergelijk product waarmee men juist met de "sublieme" beveiliging adverteert ten opzichte van meer conventionele scanners behoorlijk lager dan bv Defender scoort vind ik op zijn minst opvallend te noemen.

kr4t0s @Bor • 29 oktober 2018 18:55

Ik had het ook over Gartner rapport deze was uitgevoerd met versie 3.x terwijl 5.0 al uit was.
Vind de scores van av-test beetje vreemd. In 6-2018 had traps 99,2% en krijg het een 4,5 nu slechts 93,6% en krijgt een 4. Beschrijving van de test methode is ook erg beknopt.
Traps is nog een vrij nieuw product waar nog grote sprongen gemaakt worden in de ontwikkeling. Maar goed, ik heb geen aandelen PAN dus maar mij niet veel uit. Mijn punt is meer als je op zoek ben naar een AV kijk dan naar een oplossing die meer dan alleen traditioneel signature based is.

Het is ook maar waar je kijkt https://www.fortinet.com/...ions/nss-labs-aep-svm.pdf hier komt Traps bijvoorbeeld weer heel goed uit de bus dus... tja zeg het maar.

Bor Coördinator Frontpage Admins / FP Powermod @kr4t0s • 29 oktober 2018 19:32

Ook daar ligt de bescherming / security effectiveness achter bijvoorbeeld Kaspesky en Bitdefender en juist bij deze graph zie je een oude versie Traps terug. Die grafiek wordt overigens door leveranciers van Traps gebruikt bij de verkoop. Het is maar net waar je naar kijkt. Jammer genoeg is Microsoft niet meegenomen in dat onderzoek.

Verwijderd @kr4t0s • 29 oktober 2018 13:25

Ik zou hier eens naar kijken; https://www.sentinelone.com/

ShellGhost @kr4t0s • 29 oktober 2018 14:52

Cylance staat er niet best voor in het Magic Quadrant tegenwoordig...

PcDealer @technopeuter • 29 oktober 2018 13:04

Je weet toch wel dat zo'n beetje iedere maand er een andere "winnaar" is hè? Die uitslagen zeggen weinig. Hier staan er een hele rits met 6 punten op "protection".

[Reactie gewijzigd door PcDealer op 22 juli 2024 23:25]

Bor Coördinator Frontpage Admins / FP Powermod @PcDealer • 29 oktober 2018 13:52

In de praktijk is dat juist helemaal niet zo. Je ziet keer op keer dezelfde top 5 terug zo ongeveer. Natuurlijk wisselt er wel eens een product van plaats 1 naar 2 of andersom / een soortgelijke verplaatsing maar over het algemeen is het lijstje top scorende scanners juist heel erg constant.

kuurtjes @technopeuter • 29 oktober 2018 12:26

Nergens worden er goede heuristic tests gedaan.
Alle virusscanners zouden zonder signatures getest moeten worden maar dat gebeurt niet.

AV-Test gebruikt een vage term als "0 day malware" die alleen aangeeft hoe snel een vendor zijn signatures update. De samples die ze gebruiken zijn wel "vers" maar ook zeer publiek, en dus al bekend.

henk717 @technopeuter • 29 oktober 2018 12:35

Windows Defender beschikt niet over Heuristics, maar ik moet wel toegeven dat de Signatures een heel stuk beter zijn geworden. Vraag me af of ze op de achtergrond stiekem met andere vendors samenwerken om signatures te kopen. Vorig jaar scoorde Windows Defender zeer goed in de tests maar was deze in 10 minuten te omzeilen met off the shelve tools. Dit heb ik zojuist nogmaals gepoogd en dit maal wordt mijn Meterpreter sample wel gezien waar dit vorig jaar nog te hoog gegrepen was. Helaas is de kit die ik gebruik om dit sample te maken niet geupdate waardoor het wel een jaar oude test betreft.

Waar je wel rekening mee moet houden is dat 0-day malware vrijwel altijd op Windows Defender getest zal worden en je dus er relatief zeker van kan zijn dat het uit komt met technieken om Windows Defender te omzeilen. Daarmee hebben ze een achterstand op andere producten.

Het is niet meer zo dat een AV per definitie beter is dan Windows Defender, je moet dus een overwegen keuzen maken welk product voor jou het beste is en deze als bedrijf goed laten testen door een team van experts. Zij kunnen het beste beeld schetsen wat ze van het product vinden en hoe het zich verhoud ten opzichte van de baseline (Windows Defender). Waar dat vroeger in vrijwel elk geval zo was is Windows Defender dus inderdaad enorm verbeterd tot het punt waar ik dit voor thuis gebruik en het klein bedrijf kan aanraden. Zit je bij een bedrijf wat hoogstwaarschijnlijk targeted wordt aangevallen dan is Windows Defender niet voldoende. Dan zal je toch echt over moeten op Antivirus software met modernere gedragsanalyse van applicaties en network level monitoring.

[Reactie gewijzigd door henk717 op 22 juli 2024 23:25]

MrFax @technopeuter • 29 oktober 2018 21:36

Bij mij gebruikt Defender tijdens het real-time scannen soms wel 1GB aan RAM en is soms onverklaarbaar en dus gebruik ik nog steeds Avast met alleen de file scanner.

Puremonk 29 oktober 2018 11:50

Kan iemand dit versimpeld uitleggen?

Noxious @Puremonk • 29 oktober 2018 11:57

Normaal draait het complete anti-virus-pakket met systeem-rechten (hoogste niveau).

Dit maakt het een risico als een aanvaller het voor elkaar krijgt controle te krijgen over de processen van het anti-virus-pakket.

Daarom is nu enkel het hoogst essentiële deel voorzien van deze rechten, en de rest draait in een 'sandbox', een soort virtuele omgeving waar het de rest van het systeem geen kwaad kan doen als het misbruikt word.

GertMenkel

Besturingssystemen
Microsoft Windows
Microsoft

29 oktober 2018 11:33

Wacht, dus om het even duidelijk te krijgen: een pakket dat bestanden opent en in een sandbox runt nog voordat ze helemaal binnen zijn, en waar diverse exploits in zijn gevonden, draaide niet vanaf het begin af aan al in een sandbox?

Ik snap dat de API-monitoring in kernel mode moet draaien om zijn werk te doen, maar het afhandelen van de daadwerkelijke scans heeft toch nooit in kernel mode gehoeven? Ik dacht dat in tegenstelling tot de rest van de antivirus-ontwikkelaars Microsoft hier toch wel slim mee om zou moeten gaan.

ShellGhost @GertMenkel • 29 oktober 2018 11:42

Nee omdat dit een zeer complex proces is om te sandboxen omdat het diep in het systeem verweven zit.
Defender zou dan ook de eerste antivirus zijn die in een sandbox draait.

GertMenkel

Besturingssystemen
Microsoft Windows
Microsoft

@ShellGhost • 29 oktober 2018 11:59

Defender draait nu ook niet helemaal in een sandbox. Er is een gedeelte dat in de kernel zit en dat communiceert via (ik neem aan) een van de vele IPC mogelijkheden van Windows met een low-privilege proces. Dat low-privilege proces doet de scans en heuristieke logica en communiceert terug.

Is dat makkelijk? Nee, dat is het niet. Maar dit had vanaf het begin af aan toch al gekund? Toen Windows Defender ontworpen werd kon men hier toch rekening mee houden? Het is niet alsof Microsoft een stel hobbyisten is met een paar verouderde handleidingen, dit is een bedrijf dat toegang heeft tot alle API's, hun bijbehorende documentatie en in veel gevallen zelfs de ontwerpers van de systemen.

Exploits als deze en deze en deze hadden in mijn ogen vanuit het design al niet tot high-privilege code execution mogen zorgen, dit soort exploits hadden ze moeten zien aankomen.

Webaccess @GertMenkel • 29 oktober 2018 12:40

Als ik het artikel lees is het ook niet dat dit niet mogelijk is maar had dit dermate negatieve consequenties op de performance dat dit in de praktijk niet haalbaar was.
Met nieuwe inzichten en technieken is er nu een nieuwe afweging gemaakt tussen risico en performance.

the_stickie @GertMenkel • 29 oktober 2018 14:45

Een AV doet ook graag dingen waar wel degelijk systeemrechten voor nodig zijn: geheugen van andere processen lezen, bestanden bekijken in systeemfolders, tot zelfs het beëindigen en verwijderen van processen met specifieke privileges (ntfs, proces).
Zonder die rechten geen AV, met die rechten geen sandbox... tenzij alles gesplitst wordt en processen met het "principle of least privilege" werken en bovendien de informatieuitwisseling tussen die processen strikt beveiligd wordt. Dat is een hele klus, die Microsoft als eerste voltooit.
Het hàd misschien eerder gekund, maar er zijn vast redenen waarom dat niet zo is, waarvan de eenvoudigste wellicht dat dit soort beveiliging niet bij de requirements zat. Begrijpelijk, aangezien de focus wellicht eerder lag op wat de concurrentie al had en op een snelle launch.

Xander2 @the_stickie • 29 oktober 2018 20:46

Begrijpelijk, aangezien de focus wellicht eerder lag op wat de concurrentie al had en op een snelle launch.

Betwijfel ik, start ms virus scanner was een overname van bestaand pakket ergens in de nadagen van XP en weinig features in de jaren er zien bijkomen (waar concurrenten dit wel noodgedwongen moesten).

MS heeft (had?) veel research maar wacht vaak op anderen. Hopelijk weten ze die focus vast te houden.

Hulliee 29 oktober 2018 12:04

Zeg ik nu iets geks: een aanvaller kan toch ook de environment variabele 'M MP_FORCE_USE_SANDBOX op 0 zetten en wachten tot de gebruiker een reboot doet?

Slay68

@Hulliee • 29 oktober 2018 12:15

Als je dat kunt doen, dan ben je al "binnen". Hiervoor heb je namelijk Administrator rechten nodig.

Verwijderd @Slay68 • 29 oktober 2018 13:07

En daarom is het zo belangrijk dat je bij voorkeur niet zomaar als lid van de lokale administrators groep je normale werk doet, en als je dat toch nodig vindt je niet luistert naar je handige neefje en/of buurkind maar gewoon UAC aan laat staan!

Username3457829 @Verwijderd • 30 oktober 2018 07:05

Dus dan moet je maar telkens als je iets wilt doen 100x per dag (ja ik overdrijf natuurlijk) je ww invoeren voor een installatie of wat dan ook?

Verwijderd @Username3457829 • 30 oktober 2018 10:55

Met UAC en een account dat lid is van local admins hoef je alleen maar te approven, dus zonder ww in te hoeven voeren.
Met een apart account zou dat inderdaad moeten als je in de rondte gaat klikken. Wat ook kan als je wat meer beheertaken achter elkaar gaat doen is bijvoorbeeld een elevated prompt starten, en je installaties van daaruit uitvoeren. (en je bewust zijn van het feit dat die prompt dus een verhoogd risico is; je gaat in vanuit daar gestarte processen niet lekker zitten websurfen of mailtjes openen.).
Op een 'installatiedag' is het prima om zelfs met dat beheeraccount in te loggen om alle benodigde software te installeren, zolang je op dat moment ook maar bewust bent van je verhoogde kwetsbaarheid voorkom je een hoop ellende.

Username3457829 @Verwijderd • 30 oktober 2018 17:22

Echter heb ik hier wel vaker gelezen dat het veel verstandiger is om niet als admin ingelogd te zijn.
Ik als gewone gebruiker (ben geen ITer) heb gewoon bij de installatie van W10 gewoon één account aangemaakt (niet online ofzo via een Micrsoft account, dus dat dan weer niet) en ben daar altijd mee aan de slag.
En ja ik krijg inderdaad een zwart scherm meestal met een UAC popup bij installatie of startup van sommige programma's of als ik sommige bestanden via file explorer verwijder uit Program Files ofzo. Dan hoef ik alleen op ja te klikken en daar heb ik totaal geen problemen mee.
Maar ik zou wel tierelier worden in het scenario zoals 'ze hier aanraden' als ik naast mijn main account nog een ander account zou moeten maken zonder admin rechten en voortaan van daar uit altijd moeten werken. Tenzij ik het gewoon compleet verkeerd heb opgevat.

gabba25 29 oktober 2018 12:12

Grappig artikel:

In essence, this vulnerability allowed the attacker to take full control of a victim's PC through Windows Defender. This is a classic "escalation of privilege" attack that is possible specifically because just like any other antivirus today, Windows Defender runs with full admin rights. And the irony here is that this attack can be done by having the antivirus scan a specially crafted file – that is, have the antivirus do exactly what it is supposed to do – to exploit a bug in its content analysis engine. So, the whole attack is about simply delivering that file to a PC (for example, via an email or a website) – and the rest will be taken care by the antivirus real-time protection logic. This is best compared to having a local agent on our PCs for hackers to use remotely – definitely not something we expect from our antiviruses! Now, considering that bugs will always exist in any software, the only way to protect from such attacks is by running the antivirus itself in a sandbox, thus preventing hackers from "getting out" of it. Which is exactly what this new technology does – big congrats to Microsoft with this very important "industry first"!

anargeek @gabba25 • 29 oktober 2018 12:32

In deze presentatie op Defcon dit jaar, waar de presentator uitlegt hoe hij Windows Defender Antivirus reverse-engineered, noemt hij een situatie waarbij iemand een tabblad open heeft met Gmail. Een aanvaller stuurt een email met bijlage naar gmail (de tab hoeft niet actief te zijn), gmail download deze attachment in cache-geheugen, Defender scant cache en wordt geexploiteerd.

Sowieso erg interessante talk als je wilt weten hoe Defender van binnen werkt

Belgar 29 oktober 2018 12:37

Ik kan alleen maar zeggen: "EINDELIJK". Ze hebben al een aantal keren beterschap beloofd, maar ik ben blij dat ze toch eindelijk besluiten door te zetten.

Ja er zijn wat performance offers. Gaat 99% van de mensen daar iets van merken? Ik betwijfel het. Het grootste gevaar voor je PC komt door incidentele veranderingen (nieuwe mail, nieuwe download, etc.). Een paar ms extra voordat je mail icon opkomt of na een download lijkt me een klein offer om dit gat in de voordeur te verkleinen.

Het is ook geen incidenteel probleem. Er zijn al redelijk wat exploits gevonden die op deze manier je PC over kunnen nemen.

5NaDDeR 29 oktober 2018 21:14

wel grappig xd. Microsoft is de eerste met sandbox mode maar het klopt niet.
bijvoorbeeld eset(nod32, internet security) doet dit al heel lang, daar In-product Sandbox genoemd

rjberg 29 oktober 2018 22:27

Wat ik me altijd al afvraag: real time scannen, wat een performance hit betekent voor taken met veel I/O, wordt gedaan voor schrijven en lezen, maar waarom niet alleen voor schrijven, aangezien je na een keer scannen bij schrijven moet kunnen zien of er malware aanwezig is?

Natuurlijk kunnen veranderende definities dan beter werken, maar om alles daarvoor opnieuw te scannen? Een compileer achtige taak die ik wel eens uitvoer duurt zo 40% langer.

LEX63 6 november 2018 13:03

Heel leuk ik heb dit geactiveerd en nu wilt mijn Acer notebook niet meer normaal afsluiten, enkel nog door de aan/uit knop ingedrukt te houden.

Ben hier niet zo blij mee. als dit maar goed gaat.

Op dit item kan niet meer gereageerd worden.

Microsoft laat Windows Defender deels in sandbox draaien

Lees meer

Reacties (65)

Sorteer op:

Weergave: