Windows 10に搭載されているセキュリティ対策機能のひとつである「Windows Defender ウイルス対策」は、システムを保護するソフトウェアであることから、一般的なソフトウェアより高い動作権限が与えられています。
ですが、これによりWindows Defender ウイルス対策そのものが攻撃され乗っ取られたりすると、被害がより大きくなる可能性があります。
そのため、Windows Defender ウイルス対策には部分的にサンドボックス内で実行する機能が搭載されており、有効化することでWindows Defender ウイルス対策そのものを狙う攻撃からシステムを保護できるようになります。
サンドボックスとは、システムから隔離された安全な実験環境のことで、サンドボックスで動作するプロセスには低い権限しか与えられないため、万が一攻撃が成功してもシステムの他の部分に影響が及ぶことがありません。
そこでここでは、Windows Defender ウイルス対策をサンドボックスで実行させる方法を紹介します。
目次
動作環境
この記事は、以下の環境で実行した結果を基にしています。他のエディションやバージョンでは、動作結果が異なる場合があることをご了承ください。
| ソフトウェア | バージョン |
|---|---|
| Windows 10 Pro 64bit | 1809 |
サンドボックス実行を有効化する
Windows Defender ウイルス対策のサンドボックス実行を有効化するときは、管理者としてコマンドプロンプトを起動し、以下のコマンドを実行します。(以下のコマンドでは、マシン全体の環境変数を書き換えています)
> setx /M MP_FORCE_USE_SANDBOX 1コマンド実行後「成功:指定した値は保存されました。」と表示されたら、Windowsを再起動することで、Windows Defender ウイルス対策のサンドボックス実行が有効化されます。
Windows Defender ウイルス対策がサンドボックス上で実行されているかは、タスクマネージャーの「詳細」タブで「MsMpEng.exe」プロセスとは別に「MsMpEngCP.exe」プロセスが実行されていればOKです。
また「Process Explorer」などのプロセス管理ツールで確認すると「MsMpEngCP.exe」が「AppContainer」権限で実行されていることを確認できます。
なお、パフォーマスへの影響も最小限に抑えるよう開発されているため、サンドボックス実行による動作への影響は、ほとんど感じないでしょう。
サンドボックス実行を無効化する
Windows Defender ウイルス対策のサンドボックス実行を無効化するときは、有効化したときと同じように、管理者としてコマンドプロンプトを起動し、以下のコマンドを実行します。
> setx /M MP_FORCE_USE_SANDBOX 0コマンド実行後「成功:指定した値は保存されました。」と表示されたら、Windowsを再起動することで、Windows Defender ウイルス対策のサンドボックス実行が無効化されます。
あとがき
システムを保護してくれるはずのマルウェア対策ソフト自体が乗っ取られたりして、システムを脅威にさらしてしまう可能性もあることから、Windowsのセキュリティをより強化したいときは有効化してみるのもありでしょう。