10月23日，微软宣布所有Windows 10 Version 1703及更高版本的用户都可激活Windows Defender的沙盒功能。不过随后报道发现尽管标记显示已启用，但实际上仍处于禁用状态。

Windows Defender被置于沙盒中之后，那么恶意程序对系统关键模块访问将会变得更加困难。这是因为在使用沙盒时候，Defender和系统的其他部分完全隔离，对磁盘资源和内存的访问权限非常有限。

虽然Windows Defender的沙盒功能目前仅面向Windows Insider成员开放，但所有Windows 10用户都可以使用管理员权限打开命令提示符窗口（在开始菜单输入cmd）输入：

setx / M MP_FORCE_USE_SANDBOX 1

接下来就会跳出“SUCCESS: Specified value was saved”的信息，在系统重启之后沙盒功能就会启用。

不过外媒BleepingComputer的编辑 Lawrence Abrams以及 ISC的高级处理工程师Didier Stevens发现其中一个BUG，系统关机而不是重启操作系统之后沙盒功能并不会启用。

Stevens表示：“我遇到了一个启用沙盒的问题：在创建系统环境变量之后，我关闭了我的机器，然后再开机启动。在这种情况下并没有启用沙盒功能。我必须重启（开始菜单/电源/重启）才能激活沙盒。当我尝试停用沙箱时，同样的事情发生了：只有重启电脑操作才能执行。这个问题已经反馈给微软，下个版本应该会修复这个漏洞。”

Didier解释说，只有在创建，更改或删除变量MP_FORCE_USE_SANDBOX时才会发生这种情况。

在我的笔记本电脑上, 每当我通过可变 mp _ force _ use _ sandbox 进行设置更改时, 我必须确保重新启动笔记本电脑, 而不是关机/开机。首先我做了关机, 然后按下电源按钮重新开始, 这不起作用。沙箱未激活。一旦沙箱被激活, 它将保持激活状态: 我可以关闭计算机并再次打开电源, 它将仍然保持激活状态。

如果想要确认沙盒是否处于运行的状态，您可以下载进程资源管理器并查找 msmpengn. exe 进程。在这一进程下, 应该是一个称为 msmpengcp.exe 的子进程, 如下所示。

如果存在MsMpEngCP.exe进程，则Windows Defender在沙盒模式运行。 如果没有，并且已创建环境变量，请重新启动计算机，即可启用沙盒。

参考来源：

• cnbeta
  

• bleepingcomputer

热门资讯推荐：

公众号ID：ikanxue
官方微博：看雪安全

商务合作：wsc@kanxue.com