微软正在Windows10预览版中测试Windows Defender沙盒/沙箱运行模式(详见《Windows Defender Antivirus can now run in a sandbox》)。什么意思呢?我们知道杀毒软件需要很高的权限(乃至触及系统底层),才能彻底查杀病毒保护系统。可是你想过没有,万一碰到异常强大的病毒,反而劫持了杀毒软件,会出现什么后果呢?
这就好比仅限极高能随意出入皇宫的御林军,现在被策反了,把皇帝老儿抓起来简直易如反掌,高权限反而导致了更大的危险。所以最好的办法,就是把杀毒软件置于一个虚拟的沙盒环境中运行,它依然能够查杀系统各层级,但万一自身被攻陷,却能够把威胁局限在沙盒环境中,不至于危害真正的操作系统。
值得微软骄傲的是,Windows Defender是首款测试采用沙盒运行机制的安全软件。在启用沙盒运行模式以后,你将看到MsMpEngCP.exe和MsMpEng.exe进程。如图:
如果你使用的是Win10正式版,其实也是可以开启Windows Defender沙盒运行模式的(前提是需要是Win10 1703及以上版本)。方法如下:
以管理员身份运行命令提示符,输入并回车运行以下命令:
setx /M MP_FORCE_USE_SANDBOX 1
当提示“成功:指定的值已得到保存。”即已成功启用了Windows Defender沙盒运行模式。
重启系统后生效。
如何关闭Windows Defender沙盒运行模式
右键点击桌面上的“此电脑”(如何在Win10桌面上显示“此电脑”),选择“属性”打开“控制面板\系统和安全\系统”窗口。如图:
在窗口左侧的导航窗格中点击“高级系统设置”打开“系统属性”窗口,默认显示的即是“高级”选项卡。如图:
点击窗口右下角的“环境变量”打开“环境变量”设置窗口。如图:
在下半部分的“系统变量”区域找到变量 MP_FORCE_USE_SANDBOX ,选中它,点击“删除”,确定。
重启系统后,Windows Defender沙箱模式即已被关闭。
