Windows Defender(윈도우 디펜더)에서 샌드박스(Sandbox)기능 사용방법

오늘은 Windows Defender(윈도우 디펜더)에서 샌드박스(Sandbox)기능 사용방법에 대해서 알아보겠습니다.먼저 샌드박스(Sandbox) 기능은 컴퓨터 에서 실행되는 파일(프로그램)이 격리된(Isolated) 제한된 영역에서 동작하여 악성코드 위협을 최소화할 수 있는 기술입니다.이를 사용을 할수 있게 해주는 프로그램들이 Sandboxie같은 프로그램들이 있습니다.일단 해당 기능은 기본적으로 동작을 하는 조건이 있습니다.
Windows Defender 백신프로그램의 샌드박스는 Windows 10 RS2 (버전 1703) 이상에서 해당 기능을 사용을 할수가 있습니다.
그리고  마이크로소프트(Microsoft)에서는 Running Windows Defender Antivirus in a sandbox ensures that in the unlikely event of a compromise, malicious actions are limited to the isolated environment, protecting the rest of the system from harm 표현을 사용을 하고 있습니다.

Windows Defender Antivirus in a sandbox

현재 마이크로소프트에서는 해당 기능인 샌드박스 기능을 기본적으로 활성화되지 않은 상태이며 해당 기능은 사용자의 선택에 의해 활성화할수가 있으면 해당 샌드박스 기능을 사용하여 피드백을 받아 성능 개선 및 실제 적용될 수 있도록 할 예정이라고 합니다.
여기서 샌드박스는 기본적으로 의심스러운 파일을 실행할 경우 자동으로 샌드박스 처리되어 실행되어 악의적인 행위가 발생할 경우 차단하여 샌드박스 내에서 생성된 악성 파일이 실제 시스템에 적용되지 않게 할 수 있을 것으로 보이게 하는 기술입니다.
일단 해당 기능을 사용을 하는 방법은 다음과 같습니다.

기능을 사용하고 싶은 경우에는 명령 프롬프트(관리자 권한)를 실행하여 setx /M MP_FORCE_USE_SANDBOX 1 명령어를 입력한 후 Windows(윈도우) 재부팅을 하면 해당 기능을 활성화 할수가 있습니다.
샌드박스 기능을 사용하다가 컴퓨터에서 오류가 발생을 할 경우 사용을 중지하기 위해서는 setx /M MP_FORCE_USE_SANDBOX 0 명령어를 입력한 후 Windows(윈도우) 재부팅을 하시면 해제하면 해결이 됩니다.

그리고 해당 샌드박스 기능이 활성화 되어져 있는지 확인을 하는 방법은 다음과 같습니다.
샌드박스 기능이 정상적으로 동작하는지 여부는 작업 관리자 또는 Process Explorer 도구를 통해 MsMpEng.exe 프로세스의 자식 프로세스로 C:\ProgramData\Microsoft\Windows Defender\Scans\MsMpEngCP.exe 프로세스(Antimalware Service Executable Content Process)가 자동 활성화되어 있는 경우 정상적으로 동작을 하고 있다는 경우입니다.

일단 윈도우 10에서 Windows Defender(윈도우 디펜더)에서 샌드박스(Sandbox)기능 사용방법를 활성화 하는 방법도 괜찮을 것 같습니다.