Když navštívíte (neznámý) web nebo si nainstalujete nějaký (bezplatný) nástroj, vždy riskujete určité riziko. Například malware přichází tajně nebo se ukázalo, že aplikace není tak stabilní. Spuštěním softwaru zcela odděleně od zbytku systému tato rizika omezujete nebo se jim vyhýbáte. Tato technika se nazývá sandboxing.
Abyste zůstali o krok napřed před malwarem, jako jsou viry a ransomware, přirozeně si nainstalujete slušný antivirový nástroj a budete jej mít neustále aktuální. Bohužel takové nástroje nejsou vždy schopné odhalit nebo blokovat všechny nepoctivé weby nebo software. Zvláště když navštěvujete neznámé stránky nebo chcete vyzkoušet nový software, měli byste proto přijmout další bezpečnostní opatření.
Osvědčenou technikou je sandboxing, kdy jsou jednotlivé aplikace izolovány od základního OS a dalších aplikací. Jsou, jakoby byli, vloženi do pískoviště, ze kterého nemohou (by měli) uniknout.
Na více technické úrovni lidé také mluví o virtualizaci aplikací, protože tyto aplikace pak běží v jakémsi virtuálním prostředí. Koneckonců, pro software se zdá, jako by fungoval ve vašem reálném prostředí (Windows), vzhledem k tomu, že si není vědom hranic v karanténě.
V tomto článku se podíváme na řadu technik a nástrojů pro spuštění všech druhů aplikací v tak bezpečném izolovaném prostoru. Pokud se vše ukáže jako košer, můžete jej později, pokud chcete, bezpečně zahrnout do svého „skutečného“ prostředí.
01 Prohlížeče
Možná vás překvapí, ale mnoho prohlížečů již ve výchozím nastavení nabízí určitý stupeň izolovaného prostoru. To již nějakou dobu platí, například pro Google Chrome a také pro Firefox od verze 54. V zásadě spouští jeden nebo více nových procesů pro každou webovou stránku, aby tuto stránku provedly (skripty), což ztěžuje potenciálnímu malwaru používání jiných. manipulovat s kartami nebo soubory prohlížeče.
I starý dobrý Internet Explorer nabízí podobné funkce. Nejprve to musíte povolit: přejít na Možnosti Internetu / Pokročilé a vedle něj zaškrtněte Aktivujte rozšířený chráněný režim. Nelze však vyloučit, že některé (nekompatibilní) doplňky již nebudou správně fungovat.
O dalších řešeních pojednává dále v tomto článku, například spuštění prohlížeče Chrome nebo Edge v rámci kontur Windows Sandbox nebo v kombinaci s aplikací Windows Defender Application Guard.
02 Antivirus
Placené verze antivirového softwaru často obsahují mnoho dalších funkcí zabezpečení. Například sady Internet Security Suites poskytují Avast! jako Kaspersky ve funkci sandboxu. S posledně jmenovaným zajišťuje izolovaný prohlížeč mimo jiné ochranu vašich online finančních transakcí.
Pískoviště najdete také ve bezplatné verzi Comodo Antivirus. Používá nejen prohlížeč na bázi chromu, včetně technologie sandboxing, ale můžete jej také použít ke spuštění jakékoli aplikace v karanténě. Chcete-li to provést, klikněte na Úkoly a vybrat Zadržovací úkoly / Spustit virtuální / Vybrat a spustit. Podívejte se na soubor exe a spusťte jej: zelený rámeček kolem okna aplikace označuje, že program běží v karanténě. Sandbox (kontejner) můžete kdykoli resetovat pomocí změn aplikací, které jste do něj vložili.
03 Defender Antivirus
Microsoft se také podílí na virtualizaci aplikací a karanténě. Počínaje Windows 10 1703 nabízí možnost spuštění vlastního programu Windows Defender Antivirus v karanténě. Tento antivirový nástroj běží ve výchozím nastavení se zvýšenými oprávněními, což z něj dělá oblíbený cíl pro malware. Tuto funkci aktivujete následujícím způsobem. Klikněte pravým tlačítkem na Windows PowerShell a vybrat Spustit jako administrátor. Na příkazovém řádku spusťte následující příkaz:
setx / M MP_FORCE_USE_SANDBOX 1, poté restartujte systém Windows.
Pokud spustíte Správce úloh systému Windows (Ctrl + Shift + Esc) a kliknete na Více podrobností kliknutí, která zde nyní také slyšíte MsMpEngCP.exe lze vidět otáčet se.
04 DEN
Uživatelé Windows 10 Pro 64-bit 1803 a novější mohou také aktivovat vestavěný Windows Defender Application Guard (WDAG) pro použití v Edge. Zde jsou přesné systémové požadavky. Váš prohlížeč bude poté uzamčen na omezeném virtuálním stroji pomocí technologie Hyper-V. Například tento stroj nemá přístup ke schránce nebo externím souborům. Enter Windows Powershell jako správce a spusťte následující příkaz:
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
Po restartování počítače se Edge spustí. V závislosti na vašem verši Edge možná budete muset jít jako první edge: // příznaky zadejte do adresního řádku a Microsoft Edge Application Guard přepínač. Nyní byste měli mít přístup k další možnosti pomocí tlačítka…: Nové okno Application Guard.
Abyste mohli používat WDAG také v prohlížeči Chrome, potřebujete rozšíření prohlížeče, které si můžete stáhnout zde. Pokud vám rozšíření nabízí také odkaz na aplikaci WDAG Companion ve Windows Store, budete si jej muset také nainstalovat. Poté restartujte Windows.
Nakonfigurujte karanténu
Chcete-li přizpůsobit karanténu systému Windows, musíte vytvořit konfigurační soubor wsb a ručně upravit pokyny xml. Více informací o tomto naleznete zde.
Sandbox Configuration Manager to usnadňuje. Rozbalte archivní soubor dvojitým kliknutím na extrahovaný soubor Windows Sandbox Editor v2.exesoubor. Včela Základní informace zadejte název svého izolovaného prostoru a cestu, na které by měl soubor wsb skončit. Uveďte, zda chcete síťové připojení a zda by měl být také GPU virtualizován (v Stav VGPU). Jít do Mapované složky a klikněte na Procházet složku mít přístup do složky ze „skutečného“ prostředí Windows z karantény. Přes Příkazy po spuštění při spuštění karantény můžete nechat příkazy provést automaticky. Potvrďte pomocí Uložit stávající karanténu. Chcete-li spustit karanténu, povolte tuto možnost Po změně spusťte sandbox dovnitř, odkazujete přes Načíst existující karanténu do souboru WBS a potvrďte pomocí Uložit stávající karanténu.
05 Windows Sandbox
Společnost Microsoft zrychlila sandboxovou techniku zavedením originálního nástroje Sandbox ve Windows 10 1903. Tento nástroj je v zásadě dostupný pouze uživatelům Windows Pro a Enterprise (viz také rámeček „Sandbox Home“). Tato technologie také dobře využívá technologii Hyper-V: která poskytuje virtuální prostředí Windows, ve kterém můžete bezpečně experimentovat s neznámými stránkami a softwarem. Tato „karanténa“ je skutečně velmi blízká virtualizaci systému (viz textové pole „Virtualizace systému“).
Musíte také sami povolit Windows Sandbox. Stiskněte klávesu Windows + R a zadejte volitelné funkce z. Přejděte na požadovanou možnost Sandbox systému Windows a zaškrtněte zde. Potvrďte pomocí OK a restartujte systém. To musí splňovat určité požadavky, jako je například 64bitový procesor, virtualizace aktivovaná v BIOSu (AMD-V nebo Intel VT) a alespoň 4 GB paměti RAM.
Pokud je Sandbox úspěšně aktivován, stačí vstoupit do seznamu programů Sandbox systému Windows nastartovat. O něco později se objeví okno s virtuálním prostředím Windows. Automaticky omezuje přístup k podkladovému „skutečnému“ systému Windows: všimnete si toho například hned po otevření Průzkumníka. Všechny úpravy také zmizí, jakmile zavřete virtuální prostředí. Pamatujte, že další virtualizační software, jako je VirtualBox, již nebude fungovat, dokud funkci Windows Sandbox znovu nevypnete!
Sandbox Home
Sandbox Windows není běžně k dispozici pro Windows Home, ale je to kruhový objezd. Zde je soubor Sandbox Installer.zip. Po stažení a rozbalení klikněte pravým tlačítkem na soubor Sandbox Installer.bat a vyberte Spustit jako administrátor. Po dokončení procesu potvrďte pomocí Y, po kterém se počítač restartuje. Poté bude váš Sandbox Windows na Součásti systému Windows potřebuji najít zpět. Na stejné webové stránce také najdete a Sandbox UnInstaller.zipsoubor, pro případ, že byste se ho chtěli zbavit.
06 Sandboxie: spuštění
Vynikající alternativou k prostředí Windows Sandbox je freewarový nástroj Sophos Sandboxie, který funguje ve všech verzích systému Windows 7 a novějších, včetně Windows Home. Po instalaci již při prvním spuštění najdete karanténu se jménem Sandbox Výchozí zapnuto, ale je prázdné. Mimochodem, název můžete změnit z místní nabídky.
Například v takovém karanténě můžete spustit prohlížeč kliknutím pravým tlačítkem na karanténu a Spusťte karanténu / spusťte webový prohlížeč vybrat. Operaci můžete snadno otestovat: stáhněte si libovolný soubor a umístěte jej na plochu. Všimnete si, že to nekončí na vaší běžné ploše, ale na ploše vašeho karantény.
07 Sandboxie: efekt
Ihned po tomto stažení se zobrazí okno s názvem „Okamžité zotavení“. Pokud stále chcete stažený soubor z chráněného prostředí na vaší skutečné ploše, klikněte na tlačítko Obnovit.
Je také možné později načíst soubory z karantény. Chcete-li to provést, otevřete nabídku v hlavním okně Sandboxie Obrázek / Soubory a složky. Poté přejděte na požadovaný soubor. Z kontextové nabídky jej pak můžete přenést na požadované místo. Přes nabídku se můžete vrátit do okna Sandboxie Obrázek / Programy.
Chcete-li v karanténě spouštět další aplikace, klikněte pravým tlačítkem na karanténu a vyberte Spustit sandbox / spustit program nebo Spustit z nabídky Start. Nové pískoviště můžete vytvořit pomocí Pískoviště / Vytvořit nové pískoviště.
Chcete-li spustit program pouze v karanténě, klikněte pravým tlačítkem na karanténu a vyberte Nastavení karantény. Otevřete rubriku Spusťte program a klikněte na Nucené programy / Přidat program / Otevřít / Vybrat soubory. Nahlédněte do souboru programu a potvrďte svůj výběr. Chcete-li program spustit rychle, klikněte na něj pravým tlačítkem v Průzkumníku a Spusťte sandbox Vyberte (nepracuje se všemi programy).
08 Toolwiz Time Freeze
Toolwiz Time Freeze (vhodný pro Windows XP a vyšší) je také sandboxingový nástroj, ale ten, který jakoby umístil celý váš systém do sandboxu. Doslova všechny operace zápisu, alespoň ty z vašeho oddílu Windows, jsou přesměrovány do souboru mezipaměti a po restartu systému se tato mezipaměť automaticky vyprázdní. Během instalace bude do vašeho systému přidáno několik ovladačů jádra, takže nejprve vytvořte zálohu systému.
Během instalace můžete ponechat výchozí nastavení nedotčená. Po restartování počítače spusťte nástroj. Klikněte pravým tlačítkem na ikonu programu na hlavním panelu systému Windows a vyberte Zobrazit program, po kterém stisknete tlačítko Zastavení času spuštění tlak. Jakékoli změny v systémovém oddílu po restartu automaticky zmizí. Můžete to otestovat například přidáním nebo odebráním některých souborů nebo změnou vzhledu plochy.
Relaci můžete také kdykoli ukončit kliknutím Zastavte zmrazení času klikání. Po potvrzení se systém Windows automaticky restartuje a všechny změny budou zahozeny.
Rádi bychom vás informovali, že můžete zadat prostřednictvím Povolit vyloučení složek, když je ZAPNUTO časové zmrazení soubory mimo ochranu Toolwiz Time Freeze. Zde postačuje pomocí tlačítek Přidat soubor nebo Přidat složku přidat. Tato data budou poté po restartu zachována.
Virtualizace systému
V článku se zaměřujeme na virtualizaci aplikací, ale několik nástrojů má zjevně společnou půdu s virtualizací systému, kdy jsou virtualizovány nejen určité aplikace, ale téměř celý systém - myslete na Windows Sandbox a částečně také na Toolwiz Time Freeze.
Jedním z nejpopulárnějších bezplatných nástrojů pro virtualizaci systému je Oracle VM VirtualBox. Stručně řečeno, můžete s tím začít následujícím způsobem.
Stáhněte a nainstalujte nástroj. Po spuštění je okno s „virtuálními stroji“ (VM) stále prázdné. Chcete-li přidat takový virtuální počítač, klikněte na Nový. Pojmenujte svůj virtuální počítač a uveďte, ve které složce by měl skončit. Poukažte na to Typ zapnuto (například MS Windows) a odpovídající Verze. lis Další a poskytnout odpovídající množství paměti RAM pro váš vm (například 2048 MB pro Windows). klikněte na Další / Vytvořit / Další / Další. Přiřaďte virtuálnímu disku příslušnou velikost (například 50 GB) a potvrďte pomocí Vytvořit. Dvakrát klikněte na nový vm a klikněte na ikonu složky. Viz soubor obrazu disku (iso) cílového systému. Jakmile nastoupíte Start bude nainstalován. Poté můžete spustit a používat virtuální systém.
