Windows Sandbox trafi do Windows 10 Pro i Enterprise

19 grudnia, 2018
Windows Sandbox

Bezpieczne graficzne środowisko uruchomieniowe, czyli piaskownica (ang. sandbox) trafi do systemów Windows 10 Pro i Enterprise, dając możliwość uruchomienia bez szkody podejrzanej aplikacji w odizolowanym środowisku. Złośłiwe załączniki pochodzące z kampanii ze spamem, dokumenty (faktury), skrypty oraz programy będzie można uruchomić i przetestować pod kątem szkodliwych aktywności bez większych obaw o zainfekowanie środowiska pracy. Windows Sandbox to już druga funkcja mająca poprawić bezpieczeństwo, którą Microsoft wprowadza w ostatnich tygodniach do systemu. Niedawno firma zapowiedziała, że do antywirusa Windows Defender dla systemów Windows 10, Windows Serwer 2016 i Windows Serwer 2019 trafiła piaskownica, która ma chronić antywirusa przed exploitami 0-day: za pomocą luki w antywirusie możliwe jest uruchomienie kodu z uprawnieniami systemowymi, ale sandboxowanie procesów, które są poddawane działaniu exploitów, ma chronić procesy Windows Defendera przed skutkami ataków.

Windows Sandbox zamiast maszyny wirtualnej?

Sandboxowanie aplikacji nie jest tym samym, co uruchamianie programu w maszynie wirtualnej. Piaskownica to zazwyczaj lekka i dość łatwa w konfiguracji i obsłudze aplikacja, która posiada zarezerwowaną pamięć RAM, wirtualny dostęp do rejestrów procesora i określonych plików. Na przykład piaskownica procesów w Chrome, a środowisko uruchomieniowe Bitdefender Safepay (bezpieczna przeglądarka), poza technicznymi i wizualnymi aspektami niewiele się różnią. Uruchamiając aplikację w piaskownicy nadal ma ona dostęp do kluczowych zasobów hosta, ale programy spoza piaskownicy nie mają dostępu do sandboxa. Tak więc zmiany wprowadzone w piaskownicy nie są zapisywane na stałe, ani w niej, ani w systemie operacyjnym. A dowolne szkodliwe oprogramowanie, które zostało uruchomione w piaskownicy, nie może zaszkodzić systemowi „matce”, chyba że malware zdoła wykorzystać lukę 0-day i wyskoczyć z wirtualnego obszaru.  

Piaskownica Windows Sandbox

Maszyna wirtualna to zupełnie coś innego. Hiperwizor (np. Vmware, VirtualBox, Hyper-V, KVM) to aplikacja działająca pod kontrolą Windowsa, która tworzy środowisko symulujące całkowicie oddzielny komputer. Maszyna wirtualna ma ograniczony dostęp do sprzętu na hoście (procesora, RAM, karty graficznej, karty sieciowej, karty dźwiękowej), jednak posiada odrębny dysk twardy, rejestr i sterowniki.

Koncepcja zastosowana przez Microsoft jest w zasadzie pamieszaniem piaskownicy z maszyną wirtualną, w której będzie można pobrać i uruchomić dowolny kod, plik, program, dokument, wykonać bezpieczny przelew.

Wymagania Windows Sandbox:

  • Dostępność dla Windows 10 Pro i Enterprise od wersji Windows 18305.  
  • Włączona wirtualizacja w ustawieniach BIOSU-u.
  • Co najmniej 4GB RAM (zalecane 8GB).
  • Wolnej przestrzeni 1GB (rekomendowany dysk SSD).
  • Co najmniej 2-rdzeniowy CPU ze wsparciem wielowątkowości.

Zasada działania:

  • Piaskownica przez każdym uruchomieniem będzie zerowana do ustawień fabrycznych (system automatycznie zadba o przywrócenie migawki do stanu początkowego).
  • Wszystkie wprowadzone zmiany w piaskownicy nie będą zapisywane na stałe.
  • Piaskownica będzie wykorzystywać wirtualizację sprzętową dla oddzielnego jądra za pomocą hiperwizora Microsoftu (stąd wysokie wymagania).
  • Piaskownica będzie zachowywać się jako osobny system operacyjny w Windows, ale z oddzielnym jądrem, innym zarządzeniem pamięcią i wirtualną kartą graficzną.  

Windows Sandbox - wirtualny system, maszyna wirtualna

Technologia wykorzystana do budowy Windows Sandbox opiera się na kontenerach, które zostały zaprojektowane do działania w chmurze w Windows Serwer. Microsoft dorzucił do tego integrację z Windows 10, co sprawia, że Windows Sandbox jest lekką wirtualną maszyną — do uruchomienia potrzebuje obrazu systemu operacyjnego. Po stronie użytkownika aktywowanie funkcji systemowej Windows Sandbox spowoduje automatyczne zainstalowanie wymaganych komponentów.

Funkcje systemu Windows

Podsumowując, piaskownica Microsoftu to tak naprawdę maszyna wirtualna wykorzystująca wbudowany hiperwizor, posiadający funkcję przywracania migawek (przy każdym uruchomieniu), nowe zarządzanie pamięcią (które pozwala odzyskać pamięć RAM po zamknięciu pisakownicy) oraz dynamiczne i statyczne dzielenie się z plikami z hostem, które są wymagane do działania Windows Sandbox. W efekcie nowa „piaskownica-maszyna-wirtualna” waży 100 MB zamiast kilku gigabajtów. Windows Sandbox ma również zadbać o stan baterii komputera, która ma to kluczowe znaczenie w laptopach, gdzie oszczędzanie energii jest ważne dla użytkownika.

P.S. Jeżeli Microsoft udostępni API do tego rozwiązania, to Windows Sandbox będzie można wykorzystać do zautomatyzowanej analizy malware. Zalety i wady (przede wszystkim) śledzenia aktywności malware w piaskownicy są znane badaczom bezpieczeństwa.

Testy Windows Sandbox

Wprowadzone rozwiązanie Windows Sandbox to na pewno krok w dobrym kierunku. Nowa funkcja nie ma bezpośredniego wpływu na ochronę w czasie rzeczywistym, ale za pomocą odizolowanego środowiska będzie można przetestować podejrzane załączniki oraz zrealizować przelew online. Tak, teoretycznie będzie to bezpieczna strefa przeznaczona dla finansowych operacji. Jak sprawdzi się w praktyce, tego jeszcze nie wiemy. Przekonamy się o tym podczas pierwszych testów, które chcemy przeprowadzić na początku 2019 roku. Dopiero wówczas będziemy mieć wgląd w to, czy Windows Sandbox może zastąpić tak zwane bezpieczne przeglądarki do wykonywania operacji finansowych, a także wirtualne kioski, takie jak Bitdefender Safepay lub Comodo Virtual Kiosk. Na razie mamy na ten temat jeden materiał, unikalny w skali globalnej, który wymaga aktualizacji (test opublikowano w lutym 2017 roku): Test antywirusowych modułów do ochrony bankowości internetowej.

Bezpieczna internetowa bankowość

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]