Windows10:「Windows Defender Antivirus」を今まで以上に安全に実行する

Windows10に搭載されているセキュリティ対策機能のひとつである「Windows Defender Antivirus」は、システムを保護するソフトウェアであることから、一般的なソフトウェアより高い動作権限が与えられています。

ですが、これにより「Windows Defender Antivirus」そのものが攻撃され乗っ取られたりすると、被害がより大きくなる可能性があります。

そこで、Microsoftでは「Windows Defender Antivirus」を部分的にサンドボックス内で実行する機能を開発しており、これにより「Windows Defender Antivirus」そのものを狙う攻撃からシステムを保護することができるようです。

Memo

サンドボックスとは、システムから隔離された安全な実験環境のことで、サンドボックスで動作するプロセスには低い権限しか与えられないため、万が一攻撃が成功してもシステムの他の部分に影響が及ぶことがありません。

本機能は「Windows10 バージョン1703」以降であれば、リリース版のWindows10でも導入が可能となっていることから、ここでは「Windows Defender Antivirus」をサンドボックスで実行させる方法を紹介したいと思います。

Memo

「Windows Defender Antivirusのサンドボックス実行機能」は、現在開発中の機能であるため、予期せぬ不具合が発生する可能性があることを承知の上で利用しましょう。

動作環境

この記事は、以下の環境で実行した結果を基にしています。他のエディションやバージョンでは、動作結果が異なる場合があることをご了承ください。

ソフトウェア バージョン
Windows10 Professional 64bit  1809

手順

サンドボックス実行の有効化

「コマンドプロンプト」もしくは「Windows PowerShell」を管理者権限で起動し、以下のコマンドを実行します。(マシン全体の環境変数を書き換えています)

setx /M MP_FORCE_USE_SANDBOX 1

コマンド実行後「成功:指定した値は保存されました。」と表示されたら、OSを再起動することで「Windows Defender Antivirus」がサンドボックス上で実行されるようになります。

サンドボックス上で実行されているかは、タスクマネージャーの「詳細」タブで「Windows Defender Antivirus」の実体である「MsMpEng.exe」とは別に「MsMpEngCP.exe」が表示されていればOKです。

また「Process Explorer」などのプロセス管理ツールで確認すると「MsMpEngCP.exe」が「AppContainer」権限で実行されていることを確認できます。

パフォーマスへの影響も最小限に抑えるよう開発されているようで、サンドボックス実行による動作への影響は、体感ではほぼ感じません。

サンドボックス実行の無効化

サンドボックス実行機能を無効化する場合は、有効化したときと同じように「コマンドプロンプト」もしくは「Windows PowerShell」を管理者権限で起動し、以下のコマンドを実行します。

setx /M MP_FORCE_USE_SANDBOX 0

コマンド実行後「成功:指定した値は保存されました。」と表示されたら、OSを再起動することで「Windows Defender Antivirus」のサンドボックス実行は無効化されます。

まとめ

システムを保護してくれるはずのマルウェア対策ソフトが、乗っ取られたりしてシステムを脅威にさらしてしまう可能性もあることから、本機能が早く製品版へリリースされることを期待したいところです。