Windows Defender. Como Hacer que se Ejecute en Modo Sandbox

Windows Defender ya Puede Ejecutarse en Modo Sandbox en Windows 10

Muy buenas lector. Otro post sobre Windows. En este caso sobre la seguridad, un tema que considero pilar en cualquier sistema, ya sea Linux, Windows o cualquier otro. En este caso es para hablar de Windows Defender, la solución de seguridad de Microsoft que viene integrada en Windows 10, y se encarga de la gestión del antivirus como tal, el cortafuegos, y otras protecciones.

Recientemente ha salido la noticia de que Microsoft ha implementado un modo sandbox para el antivirus de Windows Defender, convirtiéndolo, de ese modo, en el primer antivirus que puede correr en el sistema en este nivel de aislamiento. Aunque es algo que aún no viene configurado de esa manera por defecto defecto, en este post también te explico como puedes habilitarlo.

Tabla de Contenidos:

  1. Un poco de contexto. Antivirus y nivel de privilegios
  2. Como habilitar el sandbox en Windows Defender
  3. Como comprobar el modo de ejecución
  4. Más información

Un Poco de Contexto. Antivirus y Nivel de Privilegio

El antivirus suele ser una de las aplicaciones que cuenta con un mayor nivel de privilegios sobre el resto del sistema. Esto, dada a naturaleza de la aplicación, es algo muy normal, ya que lo que interesa es que, para cumplir con su objetivo de detectar cualquier rastro de malware o código malicioso, pueda acceder sin problema a casi cualquier área del sistema operativo.

Esto, que como comento es algo que a priori es necesario, también convierte a los propios antivirus en un blanco muy interesante de explotación, puesto que cualquier bug o error de seguridad en su código, puede tener un impacto enorme en el resto del sistema.

Es por eso que en Microsoft han decidido dotar a su antivirus nativo de una característica de sandbox o caja de arena, lo que le permitirá ejecutarse en un entorno aislado y protegido, dificultando, de esa manera, que cualquier explotación de una vulnerabilidad en su código, pueda repercutir al resto del sistema.

Obviamente, la dificultad de lograr esto en una aplicación como un antivirus, que por definición necesita un gran nivel de acceso al sistema, no es la misma que hacerlo en una aplicación como el bloc de notas, o la calculadora.

En este post no me quiero extender más en los detalles, ya que si te interesa, lo puedes leer de la propia fuente oficial en la nota que publicó Microsoft y que tienes enlazada al fina del post.

Como Habilitar el Sandbox en Windows Defender

Si bien a la larga esta característica estará habilitada por defecto para todas las instalaciones de Windows 10, por ahora es algo que está aun en fase experimental. Aún así, habilitarlo esta a disposición de todos los usuarios que lo deseen probar. El único requisito es que debes disponer de la versión 1703 (o superior) de Windows 10.

Antes de probarlo, te recomiendo comprobar la versión de que dispones desde la ventana de configuración, Sistema, Acerca de. Si has ido manteniendo las actualizaciones al día, lo más probable es que ya dispongas de la 1803 o de la 1809.

Dicho esto, tan solo es cuestión de abrir una ventada de la consola de Windows (en Windows 10, introduce “cmd” en la caja de búsqueda y te aparecerá), y ejecutar la siguiente sentencia:

setx /M MP_FORCE_USE_SANDBOX 1

Lo que haces con este comando es simplemente establecer una variable del sistema, que indica que el proceso asociado al antivirus de Windows Defender correrá como sandbox. Con esto, tan solo queda reiniciar el sistema para que el proceso tenga efecto.

Si, una vez probado, quisieras volver a la configuración inicial y deshabilitar el modo sandbox, tan solo debes establecer la variable anterior a 0, y reiniciar de nuevo el sistema. Esto tecleando esta sentencia en la cmd de Windows:

setx /M MP_FORCE_USE_SANDBOX 0

A continuación te explico como puedes comprobar que realmente esté habilitada (o deshabilitadoa) la característica de sandbox analizando lo procesos en ejecución de Windows.

Como Comprobar el Modo de Ejecución

La mejor manera de comprobar que realmente el proceso asociado al antivirus nativo de Windows se esté ejecutando en un entorno aislado es a través de la herramienta Process Explorer.

Process Explorer es una herramienta de la propia Microsoft, y que te permite visualizar todos los procesos en ejecución en el sistema operativo, pero ofreciendo mucha más información que el monitor de tareas del propio sistema. Puedes descargarlo desde el siguiente enlace:

La herramienta es un autoejecutable que viene dentro de un paquete Rar. Una vez abierto Process Explorer, verás un listado con todos los procesos en un formato de filas y columnas.

Para tener una información más completa, te recomiendo añadir más columnas. Una particularmente importante, de cara a lo que queremos comprobar, es la de Integridad.

Hecho esto, es hora de localizar el proceso que ejecuta el antivirus de Windows. El proceso se denomina MsMpEng.exe, y para comprobar que realmente está ejecutándose en un entorno aislado, deberías ver que, debajo de él, como dependencia, hay otro proceso denominado MsMpEngCP.exe.

Más Información

Si quieres leer en más profundidad los detalles de la implantación del modo sandbox en Windows Defender, te invito a leer la nota que publicó Microsoft en su momento y que te enlazo a continuación.

Anuncios

Publicado por

Oriol

Soy un chico de Barcelona. Estoy aquí para compartir mis Hobbies e intentar aportar mi granito de arena a todos aquellos usuarios interesados en el mundo de la informática, internet y las tecnologías de la información en general.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.