Kada posetite (nepoznati) sajt ili instalirate neki (besplatni) alat, uvek rizikujete. Na primer, tajno dolazi malver ili se ispostavi da aplikacija nije toliko stabilna. Pokretanjem softvera potpuno odvojeno od ostatka vašeg sistema, ublažavate ili izbegavate te rizike. Ova tehnika se zove sandboxing.
Da biste ostali korak ispred malvera, kao što su virusi i ransomware, prirodno instalirate solidnu antivirusnu alatku i održavate je ažurnom. Nažalost, takvi alati ne otkrivaju uvek ili blokiraju sve lažne sajtove ili softver. Stoga je dobra ideja da preduzmete dodatne mere bezbednosti, posebno kada posećujete nepoznate sajtove ili želite da isprobate novi softver.
Dokazana tehnika je sandboxing, koji izoluje pojedinačne aplikacije od osnovnog OS-a i od drugih aplikacija. Oni su, takoreći, stavljeni u sanduk iz kojeg ne mogu (treba) da pobegnu.
Na više tehničkom nivou, ljudi takođe govore o virtuelizaciji aplikacija jer te aplikacije tada rade u nekoj vrsti virtuelnog okruženja. Na kraju krajeva, za softver izgleda kao da radi u vašem stvarnom (Windows) okruženju, pošto nije svestan razgraničenja unutar sandbox-a.
U ovom članku razmatramo brojne tehnike i alate za pokretanje svih vrsta aplikacija u tako bezbednom sandboxu. Ako se ispostavi da je sve košer, onda to možete bezbedno da ugradite u svoje 'stvarno' okruženje nakon toga, ako želite.
01 Pregledači
Možda će vas iznenaditi, ali mnogi pretraživači već podrazumevano nude određeni stepen sandboxinga. Ovo je bio slučaj sa Google Chrome-om već neko vreme, na primer, kao i sa Firefox-om od verzije 54. U principu, oni pokreću jedan ili više novih procesa za svaku veb stranicu da bi izvršili (skripte na) tu stranicu, što ga čini potencijalnom malveru je teže da manipuliše karticama ili datotekama pregledača.
Čak i dobri stari Internet Explorer nudi sličnu funkcionalnost. Prvo ga morate omogućiti: idite na Internet opcije / Napredno i stavi ček pored Omogućite poboljšani zaštićeni režim. Međutim, ne može se isključiti da određeni (nekompatibilni) dodaci više ne funkcionišu ispravno.
O drugim rešenjima se takođe govori kasnije u ovom članku, kao što je pokretanje Chrome-a ili Edge-a unutar kontura Windows Sandbox-a ili u kombinaciji sa Windows Defender Application Guard-om.
02 Antivirus
Plaćene verzije antivirusnog softvera često imaju mnogo dodatnih bezbednosnih funkcija. Na primer, Internet Security Suites obezbeđuju i Avast! kao Kaspersky i u sandboxing funkciji. Sa ovim poslednjim, pretraživač u zaštićenom okruženju obezbeđuje, između ostalog, zaštitu vaših finansijskih transakcija na mreži.
Takođe ćete pronaći sandbox u besplatnoj verziji Comodo Antivirusa. Ne samo da koristi pregledač zasnovan na Chromium-u, uključujući tehnologiju sandboxing-a, već vam takođe omogućava da pokrenete bilo koju aplikaciju u sandbox-u. Кликните на Zadaci i biraj Zadaci zadržavanja / Pokreni virtuelno / Izaberite i počnite. Postavite pokazivač na exe datoteku i pokrenite je: zeleni okvir oko prozora aplikacije označava da se program izvodi u sandbox-u. U svakom trenutku možete resetovati sandbox (kontejner) sa promenama aplikacija koje ste u njega postavili.
03 Defender Antivirus
Microsoft takođe učestvuje u virtuelizaciji aplikacija i sandboxingu. Od Windows 10 1703, nudi opciju pokretanja izvornog Windows Defender Antivirusa u sandbox-u. Ovaj antivirusni alat podrazumevano radi sa povišenim dozvolama, što ga čini popularnom metom malvera. Ovu funkciju aktivirate na sledeći način. Desni klik na Windows PowerShell i biraj Покрени као администратор. Na komandnoj liniji pokrenite sledeću komandu:
setx /M MP_FORCE_USE_SANDBOX 1, nakon čega ponovo pokrećete Windows.
Ako zatim pokrenete Windows Task Manager (Ctrl+Shift+Esc) i kliknite Više detalja / Detalji kliknite možete čuti i ovde MsMpEngCP.exe da vidim kako radi.
04 WDAY
Korisnici operativnog sistema Windows 10 Pro 64-bit 1803 i noviji takođe mogu da aktiviraju ugrađeni Windows Defender Application Guard (WDAG) za upotrebu u Edge-u. Evo tačnih sistemskih zahteva. Vaš pretraživač je tada zaključan u ograničenoj virtuelnoj mašini pomoću Hyper-V. Na primer, ova mašina ne može da pristupi klipbordu ili spoljnim datotekama. напајање Windows Powershell kao administrator i pokrenite sledeću komandu:
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
Nakon ponovnog pokretanja računara, pokrenite Edge. U zavisnosti od vašeg Edge stiha, možda ćete morati edge://flags ukucajte u adresnu traku i Microsoft Edge Application Guard prekidač. Sada bi trebalo da imate pristup dodatnoj opciji preko… dugmeta: Novi prozor Application Guard.
Da biste takođe koristili WDAG u Chrome-u, potrebno vam je proširenje za pregledač, koje možete preuzeti ovde. Ako vam proširenje nudi i vezu do aplikacije WDAG Companion u Windows prodavnici, moraćete i to da instalirate. Zatim ponovo pokrenite Windows.
Konfigurišite sandbox
Da biste prilagodili Windows sandbox, potrebno je da kreirate wsb konfiguracionu datoteku i ručno izmenite xml uputstva. Više objašnjenja o ovome možete pronaći ovde.
Sandbox Configuration Manager to olakšava. Izvucite arhivsku datoteku dvostrukim klikom na ekstrahovanu datoteku Windows Sandbox Editor v2.exe-file. Bee Osnovne informacije unesite naziv vašeg sandbox-a, kao i putanju na kojoj bi wsb datoteka trebalo da završi. Naznačite da li želite mrežnu vezu i da li GPU takođe mora biti virtuelizovan (za VGA status). Иди на Mapirane fascikle i kliknite Pregledaj fasciklu da biste mogli da pristupite fascikli iz 'pravog' Windows okruženja iz sandbox-a. Kroz Komande za pokretanje možete imati komande da se pokreću automatski kada pokrenete sandbox. Potvrdite sa Sačuvajte postojeće sandbox. Da biste pokrenuli sandbox, uključite opciju Pokrenite Sandbox nakon promene u, uputiti vas putem Učitajte postojeće Sandbox u vašu wbs datoteku i potvrdite sa Sačuvajte postojeće sandbox.
05 Windows Sandbox
Microsoft je ubrzao tehniku sandboxinga uvođenjem prave Sandbox alatke u Windows 10 1903. U principu, ova alatka je dostupna samo za korisnike Windows Pro i Enterprise (pogledajte i okvir za tekst „Sandbox Home“). Ova tehnologija takođe zahvalno koristi Hyper-V: obezbeđuje virtuelno Windows okruženje u kome možete bezbedno da eksperimentišete sa nepoznatim sajtovima i softverom. Ovo „peščano okruženje“ je zaista veoma blisko virtuelizaciji sistema (pogledajte okvir za tekst „Virtuelizacija sistema“).
Takođe morate sami da omogućite Windows Sandbox. Pritisnite taster Windows+R i unesite opcione karakteristike iz. Dođite do opcije Windows Sandbox i stavite kvačicu ovde. Potvrdite sa У реду i ponovo pokrenite sistem. To mora da ispuni određene zahteve, kao što je 64-bitni procesor, virtuelizacija aktivirana u biosu (AMD-V ili Intel VT) i najmanje 4 GB ram memorije.
Kada se Sandbox uspešno aktivira, potrebno je samo da uđete u listu programa Windows Sandbox da se pokrene. Malo kasnije pojavljuje se prozor sa virtuelnim Windows okruženjem. Ovo automatski ograničava pristup osnovnom 'pravom' Windows-u: primetićete to odmah kada otvorite Explorer ovde, na primer. Sva podešavanja takođe nestaju čim zatvorite virtuelno okruženje. Imajte na umu da drugi softver za virtuelizaciju, kao što je VirtualBox, više neće funkcionisati dok ponovo ne onemogućite funkciju Windows Sandbox!
Sandbox Home
Windows Sandbox obično nije dostupan za Windows Home, ali je dostupan na zaobilazni način. Evo datoteke Sandbox Installer.zip. Nakon preuzimanja i raspakivanja, kliknite desnim tasterom miša na datoteku Sandbox Installer.bat i izaberite Покрени као администратор. Nakon završetka procesa, potvrdite sa Y, nakon čega će se računar ponovo pokrenuti. Nakon toga, trebalo bi da dodate Windows Sandbox u Windows komponente morati ponovo da ga pronađem. Na istoj veb stranici naći ćete i a Sandbox UnInstaller.zipfajl, u slučaju da želite da ga se rešite.
06 Sandboxie: Boot
Odlična alternativa Windows Sandbox-u je besplatna alatka Sophos Sandboxie, koja radi na svim verzijama operativnog sistema Windows 7 i novijim, uključujući Windows Home. Nakon instalacije već ćete pronaći sandbox sa imenom Sandbox Default uključen, ali će biti prazan. Takođe možete promeniti ime iz kontekstnog menija.
Na primer, možete pokrenuti pregledač unutar takvog sandbox-a tako što ćete kliknuti desnim tasterom miša na vaše sandbox i Pokrenite zaštićeno okruženje / Pokrenite veb pregledač да изаберете. Možete jednostavno testirati rad: preuzmite bilo koju datoteku i postavite je na radnu površinu. Primetićete da se ne nalazi na vašoj običnoj radnoj površini, već na radnoj površini vašeg sandbox-a.
07 Sandboxie: kako radi
Odmah nakon ovog preuzimanja, pojavljuje se prozor pod nazivom „Immediate Recovery“. Ako i dalje želite preuzetu datoteku iz zaštićenog okruženja na vašoj stvarnoj radnoj površini, kliknite na dugme Да се опорави.
Takođe je moguće naknadno ukloniti datoteke iz sandbox-a. Da biste to uradili, otvorite meni u glavnom prozoru Sandboxie-a Pregled / Fajlovi i fascikle. Zatim idite do željene datoteke. Zatim ga možete preneti na željenu lokaciju iz kontekstnog menija. Povratak u Sandboxie prozor se vrši preko menija Slika / Programi.
Da biste pokrenuli druge aplikacije u vašem sandboxu, kliknite desnim tasterom miša na sandbox i izaberite Pokreni sandbox / Pokreni program ili Pokreni iz menija Start. Možete napraviti novi sandbox preko Sandbox / Kreirajte novo sandbox.
Da biste mogli da pokrenete program isključivo u sandboxu, kliknite desnim tasterom miša na sandbox i izaberite Sandbox Settings. Otvorite odeljak Pokrenite program i kliknite Prisilni programi / Dodaj program / Otvori/Izaberi datoteke. Pogledajte programsku datoteku i potvrdite svoj izbor. Da biste brzo pokrenuli program, možete kliknuti desnim tasterom miša na njega u Exploreru i Run sandboxed (ne radi sa svim programima).
08 Toolwiz Zamrzavanje vremena
Toolwiz Time Freeze (pogodan za Windows XP i novije verzije) je takođe alatka za sandbox, ali ona koja stavlja ceo sistem u sandbox, takoreći. Bukvalno sve operacije pisanja, barem one sa vaše Windows particije, se preusmeravaju na keš datoteku i nakon ponovnog pokretanja vašeg sistema taj keš se automatski ponovo prazni. Nekoliko drajvera kernela biće dodato vašem sistemu tokom instalacije, tako da prvo napravite rezervnu kopiju sistema.
Možete ostaviti podrazumevana podešavanja netaknuta tokom instalacije. Nakon ponovnog pokretanja računara, pokrenite alatku. Kliknite desnim tasterom miša na ikonu programa u Windows sistemskoj paleti i izaberite Show Program, nakon čega pritisnete dugme Zamrzavanje vremena početka Заузет. Sve promene na vašoj sistemskoj particiji će sada automatski nestati nakon ponovnog pokretanja. Ovo možete testirati tako što ćete, na primer, dodati ili ukloniti neke datoteke, ili promeniti izgled radne površine.
Takođe možete završiti sesiju u bilo kom trenutku do Zaustavi zamrzavanje vremena кликнути. Nakon vaše potvrde, Windows će se automatski ponovo pokrenuti i sve promene će biti zanemarene.
Obaveštavamo vas da u glavnom prozoru preko Omogućite izuzimanje fascikle kada je vreme zamrzavanje UKLJUČENO datoteke izvan zaštite Toolwiz Time Freeze. Ovde je dovoljno preko dugmadi Dodaj datoteku ili Додај фолдер додати. Ovi podaci se zatim zadržavaju nakon ponovnog pokretanja.
Virtuelizacija sistema
U članku se fokusiramo na virtuelizaciju aplikacija, ali nekoliko alata očigledno ima zajednički jezik sa virtuelizacijom sistema, virtuelizirajući ne samo određene aplikacije već i skoro ceo sistem – pomislite na Windows Sandbox i delimično i Toolwiz Time Freeze.
Jedan od najpopularnijih besplatnih alata za virtuelizaciju sistema je Oracle VM VirtualBox. Ukratko, ovako počinjete.
Preuzmite i instalirajte alat. Kada ga pokrenete, prozor 'virtuelnih mašina' (VM) je i dalje prazan. Da biste dodali takav VM, kliknite na Нова. Dajte naziv svojoj VM i naznačite u kojoj fascikli bi trebalo da završi. ukazati na to Тип na (npr MS Windows) i prateće Version. Pritisnite Следећи i obezbedite odgovarajuću količinu ram memorije za vaš VM (npr 2048 MB za Windows). кликните на Sledeće / Kreiraj / Sledeće / Sledeće. Dodelite odgovarajuću veličinu virtuelnom disku (npr 50 GB) i potvrdite sa Креирај. Dvaput kliknite na novi VM i kliknite na ikonu fascikle. Postavite pokazivač na datoteku slike diska (iso) ciljnog sistema. čim kliknete Почетак biće instaliran. Nakon toga možete pokrenuti i koristiti virtuelni sistem.
