La settimana scorsa abbiamo riportato l’introduzione della modalità sandbox riferita a Windows Defender. Come spiegato per attivare la funzionalità è necessario eseguire un comando che va a creare una variabile di sistema con valore 1.
Successivamente è richiesto un riavvio.
Bene, il ricercatore Didier Stevens (ed anche noi dopo prove interne) ha rilevato che se dopo l’esecuzione del comando spegniamo e ri-accendiamo il sistema la variabile NON viene attivata.
Per la corretta attivazione è necessario il riavvio del sistema, dopo ovviamente aver ripetuto il comando. Ora sorge la domanda: come verificare se la variabile è attiva?
Verifichiamolo con Process Explorer
Scarichiamo lo strumento Process Explorer ed avviamolo con credenziali amministrative, se troviamo il processo “MsMpEng.exe” come immagine sotto allora vuol dire che la sandbox NON è abilitata.
Se invece troviamo la seguente immagine:
allora vuol dire che la modalità sandbox è correttamente abilitata.