Afin de se prémunir contre les attaques qui lui sont destinées
En aout 2018, Microsoft a évoqué le développement d’une nouvelle fonctionnalité « Sandbox jetable » baptisée « InPrivate Desktop ». Celle-ci pourrait être exclusive aux versions Entreprise de Windows 10 et permettre aux administrateurs de lancer des exécutables non fiables dans un sandbox sécurisé sans crainte d’apporter des modifications au système d’exploitation ou aux fichiers du système.
InPrivate Desktop semble similaire à ce que propose Windows Defender Application Guard (WDAG). WDAG isole les malware potentiels et autres exploits téléchargés depuis le navigateur afin d’isoler et de contenir la menace. WDAG utilise des processus de sécurité basés sur la virtualisation, en isolant le code potentiellement malveillant au sein d’un container afin d’éviter la propagation de celui-ci sur le réseau d’entreprise.
Plus récemment, Microsoft a annoncé l’implémentation d’une nouvelle fonctionnalité dans Windows Defender Antivirus pour Windows 10, la solution antivirus intégrée aux itérations les plus récentes de Windows 10. Cette nouvelle fonctionnalité a fait son apparition avec la sortie de Windows 10 version 1703. Elle permet de faire tourner l’antivirus de la firme de Redmond dans un sandbox sécurisé. Pour le moment, elle n’est pas activée par défaut sur l’OS.
Les solutions antivirus doivent souvent fonctionner avec des privilèges élevés sur le système afin de protéger l’ensemble du système contre les attaques malveillantes. La nécessité de fonctionner avec des privilèges élevés fait des programmes antivirus des cibles de choix. La firme de Redmond espère que le nouvel environnement d’exécution de processus restrictif intégrée à son logiciel antimalwares Windows Defender Antivirus permettra de protéger cette application contre les attaques qui lui sont directement destinées.
Microsoft a déclaré ne pas avoir connaissance de la survenue d’attaques ciblées contre Windows Defender Antivirus, mais aurait préféré jouer la carte de la prudence en ajoutant une couche de protection supplémentaire à sa solution antivirus, sachant que des chercheurs en sécurité avaient, par le passé déjà, identifié des moyens d’attaquer Windows Defender Antivirus avec succès.
« L’exécution de Windows Defender Antivirus dans un sandbox sécurisé garantit que, dans le cas peu probable de la survenue d’un compromis, les actions malveillantes seront limitées à l’environnement isolé, protégeant ainsi le reste du système contre tout dommage », a expliqué Microsoft.
Comme cela a été précisé précédemment, cette nouvelle fonctionnalité intégrée Windows Defender Antivirus n’est pour le moment pas activée par défaut, mais elle est disponible sur tous les appareils tournant sous Windows 10 version 1703 ou version supérieure.
Pour activer manuellement le sandbox sécurisé de Windows Defender Antivirus, il vous suffit de :
ouvrir le menu Démarrer ;
taper powershell.exe et lancer la recherche pour afficher PowerShell comme l’un des résultats ;
cliquer avec le bouton droit de la souris sur le résultat et sélectionner l’option « Exécuter en tant qu’administrateur » ;
confirmer l’action d’ouverture de l’application dans l’invite UAC qui peut s’afficher ;
exécuter « setx /M MP_FORCE_USE_SANDBOX 1 » dans la boite de dialogue qui va s'afficher ;
redémarrer enfin Windows.
La commande définit une nouvelle variable système qui indique à Windows d’exécuter Windows Defender Antivirus avec la fonctionnalité le sandbox sécurisé. Une fois que le sandbox sécurisé de Windows Defender Antivirus est activé, les utilisateurs pourront voir dans le gestionnaire de tâche sous l’onglet « Détails » un processus nommé MsMpEngCP.exe qui s’exécute en parallèle avec le processus antimalware MsMpEng.exe.
Si vous n’êtes pas sûr de la version de Windows que vous utilisez, il vous suffit d’exécuter winver.exe dans la boite de dialogue « Exécuter » que vous pouvez invoquer en appuyant sur la touche Windows + R de votre clavier.
merci à Developpez.com