Када почнете да се петљате са непознатим софтвером, чудним скриптама које вам се шаљу путем ћаскања или прилозима којима не верујете у потпуности, изоловано окружење где ништа од тога не може да поквари ваш Windows То је практично обавезно. У безбедности се ово назива „sandboxing“. То значи стварање врсте контролисаног окружења у којем можете покретати тестове без страха од пада система или цурења осетљивих података.
Добра ствар је што у многим случајевима можете монтирати ову заштиту на начин који ручно и без инсталирања програма трећих странакористећи оно што Windows већ нуди (као што је Windows Sandboxили чак коришћењем sandbox окружења која се ослањају на примитиве оперативног система у macOS-у, Linux-у или WSL2. А када треба да одете корак даље, имате алате попут Sandboxie Plus-а који вам дају фину контролу над оним што свака апликација може да ради.
Шта је тачно „sandboxing“ и зашто би вас могло занимати његово коришћење?
Једноставно речено, песковник је безбедносни механизам који раздваја извршавање програма Тако да, чак и ако нешто крене по злу или је злонамерно, штета остаје ограничена на то окружење и не допире до главног система или ваших личних података. Ова изолација може утицати на процесор, меморију, диск, мрежу, па чак и улазне уређаје.
Једна од најчешћих употреба песковника је покретање непоузданих апликацијаТо укључује инсталатере преузете са сумњивих веб локација, сумњиве прилоге е-поште или бинарне датотеке примљене путем порука. Чувањем у изолованом окружењу, њихов приступ ресурсима као што су складиште, мрежа, инспекција хост система или читање улазних уређаја је знатно ограничен. ограничено или директно блокираноу зависности од тога како конфигуришете заштиту.
Класичан пример кутије са песком је комплетне виртуелне машинеОви емулатори емулирају цео рачунар и учитавају гостујући оперативни систем потпуно одвојено од хоста. Гостујући систем се не покреће изворно, већ кроз емулатор или хипервизор. Може приступити физичким ресурсима хоста само преко овог средњег слоја.
Међутим, виртуелне машине нису једина врста песковника која постоји. Модерни прегледачи попут Chrome-а, Chromium-а или Edge-а Они користе више слојева изолације процеса тако да угрожена картица не би покренула остатак система. Слично томе, неки модерни алати за развој нуде сопствени интерни „песак“ за покретање агената кода, скрипти и терминалних команди са веома ограниченим дозволама.
У Windows екосистему, поред виртуелних машина, имате опције као што су Windows Sandbox и напредна решења попут Sandboxie Plus. Решења која креирају одвојено оперативно окружење за ваше програме. А ако погледате друге системе, пројекти попут нативних агената за развој sandbox-а користе системске примитиве (Seatbelt на macOS-у, seccomp или Landlock на Linux-у, bubblewrap итд.) да би појачали ту изолацију.
Windows Sandbox (WSB): Sandbox уграђен у Windows 10 и 11
Мајкрософт је у Windows 10 и Windows 11 укључио функцију под називом Windows Sandbox (Windows Sandbox, WSB), дизајниран тако да сваки корисник може имати спремну за употребу „мини виртуелну машину“ без већих проблема. Заснован је на виртуелизацији хипервизора (Hyper-V) и поставља лагано, привремено и потпуно одвојено десктоп окружење главног система.
Унутар тог изолованог простора можете инсталирати и покретати програме са потпуним миром. Све што се тамо деси, остаје тамоКада затворите прозор сандбокса, инсталирани софтвер, креиране датотеке, па чак и стање система се бришу, као да никада нису ни постојали. Сваки пут када га покренете, добијате нова и чиста инстанца, слично као и нова инсталација оперативног система Windows.
Хост апликације се не деле аутоматски са sandbox-ом. Ако вам је потребно нешто унутра, мораћете... инсталирајте га експлицитно унутар изолованог окружењаИли мапирајте фасцикле пратећи синтаксу .wsb датотека, где чак можете означити путање у режиму само за читање и онемогућити мрежу да бисте додали додатни слој безбедности.
Са техничке тачке гледишта, WSB се понаша као виртуелна машина за једнократну употребуМеђутим, много је лакша од конвенционалне виртуелне машине. Користи датотеке из оперативног система хоста, користи одвојено, огољено језгро и примењује оптимизације како би смањила потрошњу меморије и убрзала време покретања. На овај начин, можете је покренути и покренути за неколико секунди.
Кључне карактеристике Windows Sandbox-а
Једна од најјаснијих предности WSB-а је то што је део професионална издања система WindowsСтога, не морате да инсталирате хипервизор треће стране или комплетно решење за виртуелизацију да бисте имали релативно робустан „песакбокс“. Све је већ у систему, спремно за активирање из опционих функција.
Овај изоловани простор је потпуно једнократне и беспрекорнеСвако покретање је еквивалентно покретању нове инсталације оперативног система Windows. Ништа се не чува када затворите прозор, што знатно поједностављује тестирање софтвера и спречава накупљање остатака програма или необичних конфигурација током времена.
Што се тиче безбедности, Windows Sandbox је базиран на виртуелизација хардвера за изолацију језграКористи Мајкрософтов хипервизор за покретање одвојеног језгра који строго изолује sandbox од главног система. Ово значајно смањује површину за напад ако извршна датотека коју тестирате садржи злонамерни софтвер, експлоите или неочекивано понашање.
Што се тиче перформанси, WSB је дизајниран да буде брзо и ефикасноКористи виртуелни ГПУ, интегрисани распоред језгра и интелигентно управљање меморијом, што резултира кратким временима покретања и мањом потрошњом ресурса него код потпуне виртуелне машине са сопственим независним оперативним системом.
Укљученост у Windows 10 Pro, Enterprise и Education, као и у Windows 11 Pro и Enterprise, Не требају вам екстерни VHD-ови или додатне лиценцеСистем користи смањену слику самог Windows-а, величине приближно 100 MB, за покретање окружења, поједностављујући одржавање и смањујући додатна преузимања.
Захтеви за уређивање, лиценцирање и хардвер за коришћење WSB-а
Windows Sandbox није доступан у свим верзијама система. Да бисте га активирали, потребан вам је компатибилно издање система WindowsПодржани су Windows 10 Pro, Enterprise или Education (укључујући Pro Education/SE), или Windows 11 Pro и Enterprise. Windows Home је за сада искључен, јер Microsoft не нуди званичну WSB подршку за ту верзију.
Што се тиче лиценцирања, права коришћења изолованог простора су укључена у Windows лиценце намењене професионалном и образовном окружењуОво би укључивало Windows Pro и Pro Education/SE, Windows Enterprise E3 и E5, као и образовне лиценце A3 и A5. Сви детаљи о лиценцирању могу се наћи у општој документацији о лиценцирању система Windows.
Са становишта хардвера, систему је потребан CPU са могућностима виртуелизације (у AMD64 или модерној ARM64 архитектури у случају Windows 11), најмање 4 GB RAM меморије (8 GB се препоручује за додатни капацитет), 1 GB слободног простора на диску (идеално на SSD-у) и најмање два CPU језгра, при чему су четири са hyper-threading-ом пожељна за глађе перформансе.
Од суштинског је значаја да виртуелизација је омогућена у BIOS-у/UEFI-ју физичке опреме. Ако се налазите унутар виртуелне машине, такође ћете морати да омогућите угнежђену виртуелизацију и, у неким случајевима, ажурирате виртуелну машину да бисте додали ту функционалност, користећи PowerShell команде за откривање екстензија виртуелизације и ажурирање верзије машине; ако сте заинтересовани за подешавање сложенијег окружења, можете погледати водич на Windows 11 као домаћин тест лабораторије.
Ако се поље за потврду Windows Sandbox не појави када покушате да активирате функцију, веома је вероватно да је систем утврдио да Ваша опрема не испуњава један или више захтеваУ том случају, потребно је да проверите и инсталирану верзију оперативног система Windows и подешавања BIOS-а и доступни хардвер.
Како активирати и покренути Windows Sandbox корак по корак
Када потврдите да ваше издање и хардвер испуњавају захтеве, први корак је укључите опције виртуелизације у BIOS-у или UEFI-ју. Обично ћете морати да потражите подешавања као што су Intel VT-x, AMD-V или слична и да их омогућите. Ово је кључни корак, јер без њега, Windows не може да користи Hyper-V или функције контејнера и sandbox-а.
Када је виртуализација завршена, пратите ове кораке:
- Отворите Windows.
- Идите на Контролну таблу.
- Отворите фасциклу Програми.
- Приступите програмима и функцијама.
- Изаберите Укључи или искључи функције система Windows.
Тамо ћете пронаћи листу опционих компоненти; означите поље Windows Sandbox и прихватите. Систем ће преузети и конфигурисати шта је потребно, а затим ће вас замолити да поново покренете систем.
Ако желите, можете омогућити функцију из Покрени PowerShell као администраторОво се ради помоћу команде која активира функционалност Containers-DisposableClientVM, која управља овим привременим окружењем радне површине. Ова метода је посебно погодна ако аутоматизујете распоређивање или радите са конфигурационим скриптама за више машина.
Након поновног покретања, једноставно отворите мени „Старт“ и потражите „Windows Sandbox“ Да бисте први пут покренули алат, видећете прозор са минималистичком Windows радном површином: одатле можете копирати датотеке, инсталирати програме и покретати тестове, знајући да ће када га затворите, цело окружење нестати.
За напредне кориснике постоји могућност креирајте .wsb конфигурационе датотеке Ове функције вам омогућавају да прилагодите понашање sandbox-а: омогућавање или онемогућавање мреже, мапирање фасцикли хоста у режим само за читање или режим читања/писања, покретање скрипти при покретању и још много тога. Са овом конфигурацијом можете дизајнирати високо префињена окружења прилагођена сваком случају употребе, на пример, sandbox за анализу злонамерног софтвера без интернет везе и са фасциклом за узорке само за читање.
Испробајте напредне WSB функције помоћу програма Windows Insider
Ако желите да будете у току са најновијим побољшањима која Мајкрософт уводи у sandbox, можете се придружити Виндовс Инсидер ПрограмНа тај начин ћете добити приступ прегледним верзијама оперативног система Windows које често укључују измене и нове WSB опције пре него што буду објављене широј јавности.
У оквиру овог програма можете бирати различите ажурирајте канале у подешавањима система Windows.
- Развојни канал. Пружа најновије функције, по цену смањене стабилности.
- Бета каналУравнотеженије. Обично је то најбоља опција за напредне кориснике који желе да испробају нове ствари без превише изненађења.
- Преглед канала. Фокусира се на Кључне исправке и функције у следећој стабилној верзијинепосредно пре коначног објављивања. То је добар начин да се потврди да нове могућности „пешчаника“ раде како се очекује, а да се притом не изложите превише радикалним променама.
Међутим, имајте на уму да коришћење Инсајдер верзија подразумева прихватање одређеног степена ризик и нестабилностПрепоручује се да се ово уради на опреми за тестирање или у окружењима где квар система не представља озбиљан производни проблем.
Песковити систем на macOS-у, Linux-у и Windows-у изван WSB-а
Иако је фокус овде на Windows Sandbox-у и ручном sandbox-у, вреди погледати како... Изолација је имплементирана у другим системимајер су многе идеје применљиве када размишљате о дизајнирању сопствене стратегије безбедности и тестирања.
На пример, на macOS-у постоји неколико опција: App Sandbox (намењен апликацијама из Mac App Store-а), контејнери, виртуелне машине и систем за профилисање sandbox-а под називом Сигурносни појасдоступно преко sandbox-exec. Иако је Seatbelt проглашен застарелим пре много година, и даље га користе критичне апликације трећих страна попут Chrome-а, управо због грануларности којом омогућава дефинисање дозвола.
Са Seatbelt-ом можете динамички генерисати профил политике који ограничава позиве систему и чита/пише на одређене путање. Типично, алат или агент кода гради овај профил у реалном времену на основу корисничке конфигурације и правила слично команди .ignore, веома прецизно блокирајући шта се може, а шта не може приступити.
У Линуксу, језгро нуди моћне примитиве као што су секкомп и ЛендлокОве функције омогућавају блокирање опасних системских позива и примену ограничења приступа на фајл системе. Многа sandbox решења комбинују ове могућности са преклапајућим фајл системом како би процесу представила филтрирани приказ диска, где се „игнорисане“ датотеке замењују заштићеним копијама које изоловани процес не може да чита или мења.
У свету Windows-а, када вам је потребно да покренете опште алате за развој са изолацијом сличном Linux-у, једна стратегија је Користите WSL2 и покрените га унутар Linux sandbox-а. (на пример, са облагањем мехурићима) уместо покушаја да се поново креирају сви примитиви преко самог изворног Виндоуса, који је историјски био више оријентисан ка изолацији апликација него ка флексибилним контејнерима за развој.
Агенти кода и „песак“: мање прекида и већа безбедност
Модерни агенти кода имају велике користи од „sandbox“-а. Без њега, свака bash команда коју желе да покрену мора бити „sandbox“-ована. ваше ручно одобрењеТо доводи до поплаве захтева за дозволе и ризика од замора (на крају прихватате скоро без гледања).
Постављањем ових агената у добро дефинисано, изоловано окружење, може им се дозволити да раде са много већом аутономијом под условом да не покушавају да изађу ван утврђених граница. Захтев за дозволу се покреће само када им је потребно нешто ван „пешчаника“.
У пракси, то значи да се службеници заустављају око 40% мање пута То је зато што када све захтева појединачно одобрење, то штеди време и смањује прекиде. Да би модел знао како да се понаша, ограничења sandbox-а морају бити јасно дефинисана у алату shell.
Штавише, многе имплементације побољшавају искуство приказивањем у резултатима алата терминала Експлицитно објашњење које је ограничење проузроковало неуспехИ, у неким случајевима, предлог за ескалацију ситуације. На овај начин, агент учи да одлучи када може сам да настави са поновним покушајем, а када треба да захтева ескалацију.
Сви ови механизми се ослањају на примитиве оперативног система: Seatbelt у macOS-у, bubblewrap у Linux-у и WSL2, или комбинације seccomp-а, namespaces-а и мрежних проксија. Резултат је окружење у којем је површина напада против убризгавања промптова, злонамерних зависности или компромитованих скрипти смањена, јер чак и ако агент направи грешку, Њихове акције су ограничене у оквиру песка.
Sandboxie Plus: Грануларна изолација апликација у оперативном систему Windows
Поред Мајкрософтовог уграђеног „пешчаника“, постоји добро познато решење у оперативном систему Windows под називом Сандбокие плусОво је еволуција класичног Sandboxie-ја, који креира изоловано оперативно окружење за покретање и инсталирање програма без трајне модификације локалног система. За разлику од WSB-а, то није комплетна мини-инсталација Windows-а, већ... слој виртуелизације на нивоу процеса и датотечног система.
Сандбокси је настао 2004. године као алат за приложите Интернет Експлорер и минимизирати утицај њихових рањивости. Временом се проширио на друге прегледаче и све непоуздане апликације. Данас, под GPLv3 лиценцом, и класична и Plus верзија деле безбедносну основу. Разлика је у томе што ова друга има Модерни интерфејс базиран на Qt-у и низ додатака који га чине удобнијим и снажнијим.
Међу најзанимљивијим карактеристикама Sandboxie Plus-а је менаџер снимакаОво нам омогућава да направимо слику било ког „пешчаника“ и касније га вратимо, режим одржавања за инсталирање или деинсталирање сервиса и драјвера када је потребно, и преносиви режим који издваја све датотеке у директоријум како бисмо их понели било где без традиционалне инсталације.
Такође нуди додатне опције интерфејса за блокирати приступ одређеним Windows компонентамаНа пример, међуспремник или ред за штампање. А такође и финије подешавање за ограничавање приступа интернету, контролу шта се може покренути из менија Старт > Покрени и глобални пречица за заустављање свих процеса унутар изолованог оквира у случају нужде.
Поред тога, укључује а sandbox заштитни зид базиран на Windows филтер платформи (WFP)Ово омогућава да се сваки уређај третира као да има своја мрежна правила. Све ово је подржано унапред дефинисаним шаблонима ограничења тако да чак и мање искусни корисници имају разумно безбедно окружење од самог почетка, са могућношћу да прилагоде и појачају ова ограничења по потреби.
Почетак рада са Sandboxie Plus-ом
Када инсталирате Sandboxie Plus, програм креира подразумевану изолационо окружење под називом „DefaultBox“Из контекстног менија можете приступити опцијама sandbox-а и изменити његово понашање. На пример, можете одлучити на које путање може да пише, које апликације се аутоматски покрећу унутра, која мрежна ограничења да се примене и тако даље.
Међутим, оно што је заиста занимљиво јесте креирање сопственог одвојена окружења за различите случајеве употребеИз менија Sandbox можете изабрати „Креирај нови Sandbox“. Затим му дајте описно име и на крају изаберите почетну конфигурацију као што је „Ојачано“ да бисте повећали заштиту и прихватили.
Покретање апликације унутар sandbox-а је једноставно као кликните десним тастером миша на кутијуПоставите курсор на „Покрени“ и изаберите „Покрени програм“. Можете ручно унети путању до извршне датотеке или користити дугме Прегледај да бисте је пронашли. Када изаберете и потврдите, тај програм ће се покренути у изолованом окружењу, наслеђујући сва дефинисана ограничења.
Још један погодан начин да се користи јесте да се прибегне Интегрисани стартни мени Sandboxie PlusИз истог менија „Покрени“ можете изабрати „Покрени из менија „Старт““ и одабрати апликације инсталиране на вашем систему које желите да покренете под заштитом „пешчаника“, без потребе да ручно тражите њихову извршну датотеку.
Укратко, ручно „sandboxing“ без додатног софтвера и коришћењем алата интегрисаних у систем, појачано када је потребно решењима попут Sandboxie Plus или добро конфигурисаним Linux/macOS окружењима, омогућава вам да имате веома јасни слојеви одбране од сумњивог софтвера, људских грешака и све аутоматизованијих агената кодаКоришћење ових изолованих окружења за прегледање, тестирање, дебаговање и покретање осетљивих програма је практичан начин за смањење ризика, без жртвовања експериментисања или удобности рада.
