Песочница windows 10 (windows sandbox): безопасная изолированная среда
Содержание:
- Как активировать и использовать «Песочницу»?
- Как пользоваться песочницей
- Как установить Windows Sandbox
- Sandboxie for Windows 10
- Что такое SAND и как он себя показал с точки зрения цены?
- Как установить Песочницу в Windows 10 Home
- Что такое песочница в Windows 10
- Настройка Песочницы
- Песочница
- Настройка Windows Sandbox
- Как активировать Windows Sandbox в Windows 10
- Ответы на вопросы слушателей
- Что такое мультисканер?
- Какие устройства отправляют объекты в песочницу и по каким протоколам происходит обмен?
- Что отдаёт песочница — хеш или сигнатуру?
- Какую информацию собирает и отправляет вендору песочница?
- Можно ли полностью автоматизировать работу с песочницей?
- Проактивная конвертация при защите от APT-атак эффективна?
- Итоги
Как активировать и использовать «Песочницу»?
По умолчанию Windows Sandbox отключена. Поэтому для запуска в ней подозрительных программ утилиту нужно предварительно активировать. Для этого:
- В меню «Пуск» переходим в раздел «Параметры».
- В появившемся меню выбираем раздел «Приложения».
- В пункте «Приложения и возможности» находим подраздел «Программы и компоненты» — он располагается под списком установленных в Windows 10 программ.
- В появившемся диалоговом окне кликаем по кнопке «Включение или отключение компонентов Windows».
- В новом окне находим пункт «Песочница Windows» и активируем его.
- Затем ждем, пока Windows извлечет файлы утилиты и установит ее. После завершения этого процесса перезагружаем компьютер.
Для запуска «Песочницы»:
- Переходим в меню «Пуск», находим в списке утилиту и кликаем по ее иконке.
- Копируем и вставляем в созданный с помощью Windows Sandbox контейнер инсталляционный пакет или исполняемый файл приложения, который необходимо проверить, и запускаем его в «песочнице».
Примечание: после закрытия утилиты все установленные приложения и внесенные изменения будут удалены.
Как пользоваться песочницей
Ну а теперь ответ на самый распространенный вопрос: как пользоваться песочницей Windows 10 и запускать в ней программы.
Если вы пользуетесь чистой песочницей, то можно просто мышкой перетащить нужный файл, например, это будет установщик утилиты, с рабочего стола ПК на рабочий стол песочницы.
Второй вариант – открытие песочницы через запуск файла конфигурации. В файле вы указываете папки вашего компьютера, к которым разрешаете доступ. Соответственно, в этих папках должны находиться те файлы, которые нужно будет открыть или запустить в песочнице.
Посмотрите на скриншот ниже. Это запущенная через файл конфигурации песочница «first». У нее есть доступ к папке «комп-профи», в которой находится установщик программы, которую я хочу проверить на вирусы.
Чтобы запустить файл в песочнице Windows нужно кликнуть по нему два раза мышкой, как обычно.
У меня он был установочный, поэтому прохожу все шаги и устанавливаю утилиту.
Моя программа для чтения установлена. Можно запустить и попользоваться ей. Убедившись, что она не принесла никакого вреда и ничего лишнее не установила, можно ставить ее на хостовый компьютер.
Если же начнутся проблемы и утилита будет заражена вирусом, просто закройте песочницу – при этом компьютер никак не пострадает от вируса. И еще дополнение – закрытие песочницы полностью очищает ее. Так что при последующем ее запуске, той читалки, которую я установила, уже не будет.
Коротко расскажу про запуск программ в песочнице Windows, без которых многие не могут. Например, это MS Word. Скажем, у вас в нем написано руководство по установке утилиты. Здесь два варианта – или каждый раз устанавливать Word, или всю нужную информацию переносить в блокнот. Дальше архивы – очень часто можно скачать программу в *.rar архиве. Чтоб не устанавливать архиватор в песочницу, лучше распаковать архив на хостовом ПК.
Если вы используете обновленную систему Windows 10 Enterprise или Pro, то песочница там точно будет и ее можно будет включить в компонентах. Основные причины, из-за которых не запускается песочница – это несоответствие системы указанным требованиям, слабый ПК, отключенная в БИОС виртуализация. Используйте все ее преимущества и тогда вам не придется ставить Windows 10 на виртуальную машину, а ваш ПК будет в полном порядке.
Смотрите видео по теме:
Об авторе: Аня Каминская
Как установить Windows Sandbox
Итак, с теорией разобрались, перейдем к практике. Для того чтобы появилась песочница в Windows 10 нужно активировать одноименный компонент.
Сначала нажмите кнопку поиска на панели задач и в строку введите «панель управления». Кликните по найденному приложению.
Дальше в режиме просмотра «Крупные значки» перейдите в раздел «Программы и компоненты».
Нам нужна кнопка «Включение или отключение компонентов…», которая находится слева.
После этого откроется вот такое окно. В нем найдите нужный компонент. Вы можете столкнуться с ситуацией, которая показана на картинке, и теперь нужно решить проблему, как включить песочницу в Windows 10, если данный компонент неактивный.
Наведите курсор на подсказку. Если там будет написано, «во встроенном ПО отключена поддержка виртуализации» – это значит, что нужно зайти в БИОС и включить виртуализацию. Если в подсказке будет сказано: «у процессора нет требуемых возможностей виртуализации» – это значит, что процессор данную функцию не поддерживает.
Если вы используете виртуальную машину, то на ней нужно включить вложенную виртуализацию. Для этого запустите PowerShell и воспользуйтесь командой:Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true
После активации виртуализации в БИОС, компонент «Песочница Windows» станет активный. Поставьте птичку напротив него и жмите «ОК».
Теперь нужно перезагрузить компьютер. Если вы готовы, жмите «Перезагрузить сейчас». Если у вас есть запущенные приложения или браузер, выберите «Не перезагружать», закройте все запущенные приложения и выполните перезагрузку сами.
Чтобы запустить песочницу на Windows 10, нужно найти ее файл в меню Пуск. Кликните по кнопке «Пуск» и найдите в меню пункт «Windows Sandbox». Двойным кликом мышки запустите приложение.
На рабочем столе откроется окно «Песочница Windows». Оно будет иметь такой же вид, какой был у системы сразу после установки Windows. Можете спокойно работать в нем, не боясь затронуть хостовый компьютер. Например, можно скопировать файл с рабочего стола и вставить его в песочницу, или просто мышкой перетащить его.
Когда соберетесь закрывать окно песочницы, появится вот такое сообщение. В нем вас проинформируют, что все файлы, будут удалены. Жмите «ОК», чтобы завершить работу с приложением.
Если вы создали важный документ и не хотите его потерять, перенесите его в папку основного компьютера, доступ к которой будет у песочницы. К каким папкам основного компьютера у песочницы будет доступ, вы указываете в файле конфигурации. О том, как его создать, рассказываю дальше.
Sandboxie for Windows 10
How Sandboxie works
Sandboxing is a method of preventing any permanent damage to your system caused by malware, by denying them access to your real system by having the Sandbox pretend to be the real operating system. Sandboxie is somewhat different from the usual sandbox program since it does not virtualize everything. It virtualizes only the resources that are requested by the programs running inside the sandbox – like Files, Disk Devices, Registry Keys, Process and Thread objects, Driver objects, and objects used for Inter-process communication such as Named Pipes and Mailbox Objects, Events, Mutexs , Semaphores, Sections, and LPC Ports.
UPDATE: Sandboxie-Plus is a fork of Sandboxie designed to address various problems as well as adding improved functionality. Take a look at it too.
When you launch the application, it creates an isolated space and prevents programs to make permanent changes in the computer.
Users can configure the Sandboxie application according to their requirements and can run multiple applications in a single Sandboxie program. Threats ranging from botnets to banking Trojans that are very destructive and some ransomware are considered as the biggest threat for security-conscious computer users.
How to use Sandboxie
- Download Sandboxie and run the setup.exe file to install the application, the setup.exe will download few more files to complete the installation once done a Sandboxie Control window will pop up on the screen.
- Right-click on the Sandbox Default Box to launch the program in Sandboxie.
- You can go into All Programs, click on Sandboxie and make a shortcut on the desktop from “Run web browser sandboxed” or pin it to the Start screen or Start menu, Quick launch or Taskbar.
Why consider Sandboxie
- Secure Web browsing: Allows the user to surf the web in the Sandbox environment hence blocks any malicious program to get downloaded when you are online.
- Provides Protective Shield over Email: We receive numerous emails in a day many are spam, few are useful those emails contain an attachment that might contain a virus or malicious software. Sandboxie application prevents those file to get downloaded on the computer and infect the computer
- Provides Enhanced Privacy: When we surf, all information like web cookies, browser cache are stored on the computer which can be easily seen by hackers, so when the web-browser runs in the Sandbox environment it saves those data inside the application itself hence prevent those cache files from getting downloaded on the machine.
- Prevention from Wear and Tear: As Sandboxie runs the application in a shield; hence, it prevents the malicious program to get installed on the computer.
It works on all Windows, including Windows 10. Here are some more free Sandboxing software that may interest you.
Что такое SAND и как он себя показал с точки зрения цены?
Основанный на стандарте ERC-20 Ethereum, SAND является собственным токеном платформы Sandbox.
Как и элементы, которые мы представили в предыдущем разделе, SAND играет критически важную роль в экосистеме блокчейн-игры.
SAND выполняет следующие варианты использования на платформе:
Доступ: если создатели не предлагают свои игры бесплатно, игроки должны использовать SAND, чтобы покупать их и получать доступ к виртуальным мирам в метавселенной.
Средство обмена: создатели, игроки и художники используют SAND для покупки и аренды LAND, а также для покупки и продажи ASSET на рынке.
Ставка: SAND можно поставить на стейкинг для получения пассивного дохода с возможностью получения дополнительных вознаграждений, владея LAND. Как упоминалось ранее, это единственный способ получить катализаторы и драгоценные камни для создания ценных ASSET.
Управление: SAND также функционирует как токен управления. Это означает, что держатели могут использовать монеты для голосования или делегирования права голоса другим игрокам для принятия решений по важным вопросам, касающимся экосистемы Sandbox. По словам создателей, в будущем Sandbox будет функционировать как децентрализованная автономная организация (DAO), в которой пользователи будут нести ответственность за разработку и поддержку проекта.
Фонд: Фонд – это пул в экосистеме Sandbox, в котором автоматически распределяется 50% комиссий за транзакции (5% в сумме, остальные 50% идут в пул ставок). Основная роль фонда – предоставлять гранты создателям и художникам, чтобы они могли наполнить метавселенную блокчейн-игры высококачественным контентом и играми.
Теперь давайте посмотрим, как изменилась цена SAND с момента запуска проекта.
После успешного проведения первичного биржевого предложения (IEO) в августе 2020 года, собрав 3 миллиона долларов, цена SAND оставалась относительно стабильной до начала этого года.
Однако с 1 января 2021 года SAND вошла в «бычий» тренд, и цена выросла с 0,037 доллара до 0,48 доллара, что составляет ROI c начала года в 1 200%.
Собственная криптовалюта игрового проекта на основе блокчейн имеет постоянный ROI в 648%
Это отличный показатель, особенно если принять во внимание, что SAND достигла такой высокой прибыли менее чем за год присутствия на рынке
Как установить Песочницу в Windows 10 Home
На странице доступно два файла:
На случай если ссылки не будут работать приводим содержимое обоих файлов.
Содержимое Sandbox Installer.bat:
@echo off echo Checking for permissions >nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system" echo Permission check result: %errorlevel% REM --> If error flag set, we do not have admin. if '%errorlevel%' NEQ '0' ( echo Requesting administrative privileges... goto UACPrompt ) else ( goto gotAdmin ) :UACPrompt echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs" echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs" echo Running created temporary "%temp%\getadmin.vbs" timeout /T 2 "%temp%\getadmin.vbs" exit /B :gotAdmin if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" ) pushd "%CD%" CD /D "%~dp0" echo Batch was successfully started with admin privileges echo . cls Title Sandbox Installer pushd "%~dp0" dir /b %SystemRoot%\servicing\Packages\*Containers*.mum >sandbox.txt for /f %%i in ('findstr /i . sandbox.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i" del sandbox.txt Dism /online /enable-feature /featurename:Containers-DisposableClientVM /LimitAccess /ALL pause
Содержимое Sandbox UnInstaller.bat:
@echo off echo Checking for permissions >nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system" echo Permission check result: %errorlevel% REM --> If error flag set, we do not have admin. if '%errorlevel%' NEQ '0' ( echo Requesting administrative privileges... goto UACPrompt ) else ( goto gotAdmin ) :UACPrompt echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs" echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs" echo Running created temporary "%temp%\getadmin.vbs" timeout /T 2 "%temp%\getadmin.vbs" exit /B :gotAdmin if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" ) pushd "%CD%" CD /D "%~dp0" echo Batch was successfully started with admin privileges echo . cls Title Sandbox Installer pushd "%~dp0" Dism /online /disable-feature /featurename:Containers-DisposableClientVM dir /b %SystemRoot%\servicing\Packages\*Containers*.mum >sandbox.txt for /f %%i in ('findstr /i . sandbox.txt 2^>nul') do dism /online /norestart /remove-package:"%SystemRoot%\servicing\Packages\%%i" del sandbox.txt pause
Для того чтобы установить Песочницу в Windows 10 Home (Домашняя) вам нужно просто скачать архив «Sandbox Installer.zip», распаковать его на своем компьютере и запустить BAT-файл.
После этого нужно дождаться завершения установки и перезагрузить компьютер. После перезагрузки компьютера программа Windows Sandbox появится с списке установленных программ в вашем меню «Пуск», и вы сможете начать ею пользоваться.
Данный способ включения Песочницы предназначет только для Windows 10 Home, но возможно он будет работать и в домашней версии Windows 11.
Что такое песочница в Windows 10
Если вы хотите попробовать какую-то программу или игру, но боитесь, что после этого на компьютере что-то пойдет не так: вместе с программой на компьютер проникнут вирусы или вам она не понравится и потом придется её удалять. И неизвестно, как еще пройдет это удаление, тогда лучше всего воспользоваться песочницей и протестировать приложение в ней.
Песочница работает очень просто. Как только вы её включаете, она запускает новую чистую установку Windows 10, т.е. запускает виртуальную машину с новой операционной системой без доступа к вашим файлам в основной системе.
Можно протестировать любую программу, игру или файл. Как и в виртуальной машине в песочнице имеется буфер обмена, при помощи которого вы можете «передавать» файлы из основной системы в песочницу и наоборот.
Если что-то необходимо сохранить, созданное во время работы в песочнице, то можно перенести файлы в общие папки по сети. Но лучше этого не делать, т.к. если программа или игра заражена вирусами, то при передаче файлов они проникнут в основную систему.
После отключения песочницы всё автоматически удаляется. После чего вы можете работать на компьютере точно так-же, как работали до этого.
Системные требования Windows Sandbox
Прежде чем пытаться включить функцию «Песочница», необходимо убедиться, что ваше устройство подходит для её использования.
Минимальные системные требования для включения песочницы:
- Windows 10 Профессиональная или Корпоративная, версии 1903 (при желании, включить песочницу можно и в Windows 10 Домашняя);
- Аппаратная виртуализация;
- Разрядность ОС х64;
- Процессор — минимум 2 ядра;
- Память – минимум 4 ГБ;
- Жесткий диск – минимум 1 ГБ (лучше SSD).
Как проверить, поддерживает ли Ваш компьютер виртуализацию Hyper-V
Кликните по кнопке «Пуск» правой кнопкой мыши.
Выберите в открывшемся контекстном меню консоль PowerShell или командную строку от имени администратора,
введите в ней команду systeminfo и нажмите на клавиатуре кнопку Enter.
После этого обратите внимание на пункт «Требования Hyper-V».
Если все четыре требования имеют значение «да», можете смело включать гипервизор и создавать виртуальные машины. Если один из этих пунктов имеет значение «нет», то необходимо проверить настройки BIOS или UEFI и включить эту функцию, при условии, что процессор её поддерживает. Включается в БИОС/UEFI. Выглядит как пункт для включения Intel Virtualization Technology (VT-x), или AMD-v на процессорах AMD. Если ничего не помогло, то посетить сайт производителя вашего устройства.
Включаем песочницу Windows 10
Чтобы включить песочницу в виндовс 10 необходимо:
- Установите флажок напротив записи «Песочница Windows» и нажмите кнопку «ОК».
- Вас попросят перезагрузить компьютер. Нажмите кнопку «Перезагрузить сейчас».
Как запустить песочницу Windows Sandbox на Windows 10
- Откройте меню «Пуск».
- Найдите пункт «Windows Sandbox», кликните по нему правой кнопкой мыши и выберите параметр «Запуск от имени администратора».
Выберите приложение, которое хотите запустить в песочнице. Кликните правой кнопкой мыши по его файлу установщика и выберите в выпадающем контекстном меню пункт «Копировать».
Кликните правой кнопкой мыши по рабочему столу песочницы и выберите пункт «Вставить».
- Теперь можете запустить установщик программы так же, как в вы это делаете в основной операционной системе.
- Для использования песочницы в полноэкранном режиме (или выхода из него) можно использовать клавиши Ctrl + Alt + Break (или Пауза), или нажать вверху окна песочницы кнопку «Свернуть/Развернуть».
- После завершения тестирования приложения нажмите вверху справа окна песочницы кнопку Х и нажмите кнопку «ОК», чтобы закрыть песочницу.
После этого программа и все её файлы будут удалены. Все эти действия не повлияют ни на вашу систему, ни на ваши файлы. Все останется в целости и сохранности. Удалена будет только программа, которую вы запускали в песочнице. В этом вся прелесть этой функции.
Настройка Песочницы
Активировав и открыв Песочницу в Windows 10, вы обнаружите, что она имеет доступ в интернет, но не предоставляет функционала для обмена файлами с хостовой системой. То есть, чтобы протестировать в Песочнице некое стороннее приложение, придется скачать его через встроенный браузер. Вопрос с обменом файлами решается путем изменения конфигурации Песочницы. В скором времени настройка будет перенесена в графический интерфейс, однако сейчас для этого используются XML-файлы с расширением WSB. Они позволяют:
- Включать/отключать виртуальный GPU;
- Открывать/закрывать сетевой доступ;
- Подключать общие папки;
- Автоматически запускать скрипты и программы при входе в песочницу.
Создавать конфигурационные файлы можно как вручную, так и с помощью специальных программ. Ниже на скриншоте представлена структура одного из таких файлов с подробными пояснениями. Управляющими элементами здесь являются теги с прописанными внутри значениями. Вот основные из них:
- Configuration – указывает, что это файл конфигурации;
- VGpu – отвечает за совместное использование GPU;
- Networking – отвечает за использование сети внутри Песочницы;
- MappedFolders, MappedFolder и HostFolder – организуют доступ к общим папкам;
- ReadOnly – управляет правами доступа к общей папке;
- LogonCommand и Command – автоматизируют запуск программ и скриптов внутри Песочницы.
Значения Disable и Enable отключают и включают параметры, равно как и используемые в теге <ReadOnly> True и False. Внутри тега <HostFolder> прописывается путь к общей папке, а в качестве значения тега <Command> используется путь к исполняемому файлу. Если вы знакомы с языком HTML или XML, то легко разберетесь в коде, если нет, воспользуйтесь для создания файлов-лаунчеров тулзой Sandbox Configuration Manager.
Загрузите архив с утилитой, распакуйте и запустите ее исполняемый файл. Интерфейс менеджера представлен четырьмя разделами:
- Basic Infos – здесь вы можете дать имя конфигурационному файлу, выбрать место его хранения, включить или отключить сеть и VGPU.
- Mapped Folders – в этом разделе задается путь к общей папке и права доступа. False подразумевает, что каталог будет доступен только для чтения, True – для чтения и записи.
- Startup Commands – здесь можно прописать команду или указать путь к исполняемому файлу, который должен запускаться при входе в Песочницу.
- Overview – позволяет просматривать код сгенерированного файла.
Сохраняются файлы нажатием кнопки «Crеate Sandbox». Количество создаваемых WSB-файлов не ограничено, каждый из них запускает Песочницу с конкретным набором предустановленных настроек.
Песочница
Sandboxie — одно из самых популярных и наиболее часто используемых приложений для создания виртуальных сред и «изоляции» программ от операционных систем Windows. В Sandboxie пользователям нравится то, что она легкая и бесплатная. Вы можете установить и запустить большую часть программного обеспечения Windows через Sandboxie. Помимо возможности устанавливать программное обеспечение в Sandboxie, вы можете запускать любую программу, установленную на вашем компьютере, например веб-браузер, через Sandboxie. Все, что вам нужно сделать, это выбрать Sandbox -> Default Box -> Run Sandboxed -> Run Web browser. Если вы хотите запускать другие приложения, выберите «Запустить любую программу».
При запуске программы в режиме песочницы вы увидите толстую желтую рамку вокруг окна, чтобы знать, что она находится в виртуализированной среде. У Sandboxie есть бесплатная и платная версия. В бесплатной версии отсутствуют некоторые важные функции, такие как возможность запускать несколько песочниц и т. Д. Однако для личного использования достаточно бесплатной версии.
Скачать: Sandboxie
Настройка Windows Sandbox
По умолчанию Windows Sandbox использует чистый образ операционной системы. Однако мы можем самостоятельно отредактировать среду с помощью специальных конфигурационных файлов. Доступны такие параметры, как активация или деактивация виртуального графического адаптера, управление доступом к сети и многое другое. Вводимые конфигурационные данные автоматически запускаются при загрузке ОС в песочнице.
Файл настроек представляет собой XML-документ с расширением .wsb. Создать его можно следующим образом:
- Первым делом нужно включить отображение расширения имен файлов. Для этого открываем любую папку, в верхней части переходим во вкладку «Вид» и отмечаем необходимый пункт.
- Переходим на рабочий стол и создаем текстовый документ.
- Кликаем правой кнопкой по файлу и жмем «Переименовать». Стираем после точки старое расширение и прописываем новое – wsb.
Рассмотрим небольшой пример реализации файла с комментариями:
<configuration> <vgpu>Disable</vgpu> // включает или отключает доступ к графическому адаптеру <networking>Disable</networking> // включает или отключает доступ к сети <mappedfolders> <mappedfolder> <hostfolder> C:\Users\root\Downloads </hostfolder> // путь к папке в системе <readonly>true</readonly> <!— Подключенные папки будут отображаться на рабочем столе (также возможен доступ по пути C:\Users\WDAGUtilityAccount\Desktop\Имя папки внутри среды) —> </mappedfolder> </mappedfolders> <logoncommand> <command> C:\users\WDAGUtilityAccount\Desktop\Downloads\SandboxScript\preconfigure.bat <command /> // команда будет запущена после загрузки среды Sandbox </logoncommand> </configuration>
Весь код вы можете скопировать и вставить в созданный файл
Обратите внимание на комментарии – их нужно удалить
Подробнее о файле конфигурации вы можете почитать в официальной документации.
Как активировать Windows Sandbox в Windows 10
Чтобы включить и использовать Windows Sandbox, важно убедиться, что включена поддержка виртуализации на стороне BIOS/UEFI. Чтобы проверить это, просто нажмите комбинацию клавиш Ctrl + Shift + Esc, чтобы получить доступ к диспетчеру задач, нажмите Подробнее, если необходимо, перейдите на вкладку Производительность и убедитесь, что в правом нижнем углу она указано «Включено» для элемента «Виртуализация»
Чтобы проверить это, просто нажмите комбинацию клавиш Ctrl + Shift + Esc, чтобы получить доступ к диспетчеру задач, нажмите Подробнее, если необходимо, перейдите на вкладку Производительность и убедитесь, что в правом нижнем углу она указано «Включено» для элемента «Виртуализация».
На этом этапе нажмите комбинацию клавиш Win + R, затем введите optionalfeatures, установите флажок Песочница Windows и нажмите кнопку OK.
На этом этапе, введя Песочница Windows в поле поиска Windows 10, вы увидите новое окно, содержащее своего рода реплику рабочего стола операционной системы, с иконками и панелью задач.
Песочница будет создаваться с использованием файлов текущей версии Windows: поэтому используемая версия будет соответствовать версии операционной системы, установленной на компьютере. На самом деле, песочница будет выглядеть как чистая установка Windows 10. При закрытии окна песочницы Windows все сделанные в нём изменения и все выполненные тесты будут немедленно и навсегда потеряны.
Microsoft объясняет, что для настройки работы с песочницей и установки ваших предпочтений вы можете использовать правильно структурированный XML-файл (см. эту страницу поддержки).
Создав XML-файл, содержащий следующее (используйте для этого текстовый редактор, например, Notepad++ ), вы гарантируете, что никакие компоненты приложения или операционной системы не смогут получить доступ к Интернету из песочницы:
Используя такую конфигурацию, вы можете предоставить песочнице доступ только для чтения к содержимому папки на уровне файловой системы в основной системе:
Файл XML может быть сохранен в любом месте памяти, например, пример на рабочем столе. В имени файла в Notepad++ вы должны указать «Sandbox.wsb».
При двойном щелчке файла Sandbox.wsb, запустится песочница Windows с настройками, установленными на уровне файла XML.
Таким образом, «песочницы» могут использоваться для безопасного запуска в виртуальной среде любого программного обеспечения, в отношении которого возникают сомнения, или программ, в отношении которых вы хотите проводить углубленные тесты и анализы.
Ответы на вопросы слушателей
Эфир был насыщен самыми разными вопросами слушателей, на которые эксперты дали ответы.
Что такое мультисканер?
Мультисканер — это инструмент для антивирусных ядер, которые к нему можно подключить (в определённом количестве). Как правило, достаточно двух-трёх. Также не надо забывать о производительности.
Обновления детектирующих правил происходят 1–2 раза в месяц, обновление ПО подчиняется циклу разработки (3–4 месяца). Машинное обучение получает новую информацию 1–2 раза в сутки.
Репутация сайтов и узлов актуализируется примерно каждые 5 минут. Это естественный процесс, так как необходимо поддерживать высокую степень защиты.
Какие устройства отправляют объекты в песочницу и по каким протоколам происходит обмен?
Межсетевые экраны, почтовый шлюз, WAF. Поддерживаются многие стандартные протоколы: Syslog, ICAP, SMTP, NFS. Можно интегрировать песочницу посредством API практически в любую среду.
Антон Тихонов:
Что отдаёт песочница — хеш или сигнатуру?
Зависит от того, как именно формируется сигнатура. На практике только сигнатуры недостаточно, нужны дополнительные данные (дамп памяти и т. д.). Хеш-сумма более эффективна, потому как с хешем может работать SIEM, файрвол и т. д.
Сигнатура не менее важна, потому что база данных сигнатур вендора пополняется, что ускоряет детектирование угрозы и блокирует распространение.
Хеш работает быстрее в превентивных действиях, сигнатура — это более агрегированная информация, которая требует больше времени на формирование, добавил Алексей Белоглазов.
Какую информацию собирает и отправляет вендору песочница?
Как можно больше информации об объекте, его поведении: например, метаданные, устанавливаемые соединения. Происходит и статический анализ, и динамический. То, какие данные отправляются вендору, определяет заказчик, потому что информация бывает конфиденциальной.
Можно ли полностью автоматизировать работу с песочницей?
Полностью автоматизировать нельзя. Необходимо участие эксперта, как минимум в качестве валидатора вердиктов. Если мы говорим о защите от APT-атак, о более сложных атаках, то без специалиста, без аналитики, без квалифицированных знаний песочница не будет работать в автоматическом режиме эффективно.
Проактивная конвертация при защите от APT-атак эффективна?
Алексей Белоглазов согласился с Александрой Савельевой, что необходимо сначала детектировать и остановить атаку, а потом расследовать, и добавил, что механизмы проактивной конвертации (когда из файла удаляется всё опасное содержимое) отправляют оригинальный файл в песочницу, где формируется подробный отчёт.
Итоги
В целом, нужно сказать, что на 64-битных операционных системах последнего поколения программа чувствует себя не очень уверенно. Случаются периодические вылеты, появляются окна с уведомлением о попытке немедленного восстановления запущенных процессов. Однако, немного поигравшись с настройками, можно сделать так, чтобы песочница Sandboxie работала стабильно, эффективно и без всяких оговорок, а благодаря интеграции с проводником, запуск приложений проходит гладко и плавно. Наряду с другими методами виртуализации, данный механизм представляет собой отличное средство отладки и тестирования приложений, которое пригодится для детального изучения взаимодействия программного продукта с рабочей операционной средой.