Для чего Антивирус Защитника Windows посадили в песочницу объяснить не трудно: чтобы обеспечить максимальный уровень защиты, антивирус обладает очень высокими привилегиями и часто сам становится объектом атаки со стороны вредоносного программного обеспечения. Как раз чтобы обеспечить дополнительный уровень защиты антивируса от внешних атак, он и запускается в песочнице.
Сложнее было реализовать такую возможность: не все операции, выполняемые антивирусом, вообще доступны из песочницы; обмен данными между внешними процессами и песочницей снижает производительность приложений; есть сложности с восстановлением в оригинальном состоянии заражённых вирусами исполняемых файлов и так далее. Как инженеры Microsoft решили все эти ребусы, можно узнать из публикации в официальном блоге компании. Если коротко — антивирус пришлось разделить на части, нуждающиеся в высоких привилегиях и те, что можно убрать в контейнер.
Протестировать более безопасный вариант использования Антивируса Защитника Windows можно прямо сейчас: это новшество уже доступно инсайдером и постепенно развёртывается на их машинах самой Microsoft. Тем кто в число первых пользователей не попал, разработчики предложения предлагают включить запуск в песочнице командой setx /M MP_FORCE_USE_SANDBOX 1 (для применения изменений потребуется перезагрузка компьютера). Там где антивирус защищён песочницей, в Диспетчере задач будет отображаться два процесса MsMpEng, один из которых как раз и работает в контейнере.
В ближайшем будущем команда разработчиков антивируса обещает нам представить ещё один способ его защиты от несанкционированного доступа, способный сделать жизнь его противников ещё сложнее. Интересно, что это может быть?