Ошибка в Windows Defender не позволяет активировать «песочницу»

На минувшей неделе компания Microsoft объявила о новой возможности запуска антивируса Windows Defender в «песочнице», однако, как нередко бывает с продуктами Microsoft, без проблем не обошлось.

Для активации «песочницы» требуется выполнить команду setx /M MP_FORCE_USE_SANDBOX 1 в командной строке с правами администратора, а затем перезагрузить компьютер. Однако ИБ-специалист Дидье Стивенс (Didier Stevens) обнаружил ошибку, из-за которой механизм «песочницы» не запускается, если компьютер выключить, а не перезагрузить.

«Я столкнулся с проблемой при активации песочницы: после установки соответствующей переменной я выключил компьютер, а потом снова включил, однако песочница не запустилась. Пришлось перезапустить машину (Start Menu/Power/Restart) для активации песочницы. То же самое случилось, когда я попытался деактивировать песочницу», - поделился Стивенс.

Как пояснил Стивенс в беседе с журналистами BleepingComputer, перезагрузка требуется всякий раз при изменении переменной MP_FORCE_USE_SANDBOX, а не только при активации «песочницы».

Исследователь проинформировал команду Microsoft об ошибке и получил ответ, что исправление уже подготовлено и будет доступно в ближайшем обновлении движка.

Проверить, работает «песочница» или нет, можно с помощью программы Process Explorer. Если под процессом MsMpEng.exe присутствует подпроцесс MsMpEngCP.exe, значит, песочница активирована.