Domovská » jak » Sandboxes vysvětlil, jak již chrání vás a jak na Sandbox jakýkoli program

    Sandboxes vysvětlil, jak již chrání vás a jak na Sandbox jakýkoli program

    Sandboxing je důležitá bezpečnostní technika, která izoluje programy a zabraňuje škodlivým nebo chybným programům poškozování nebo snoopování na zbytku počítače. Software, který používáte, je již mnohokrát spuštěn ve většině kódů, které spouštíte každý den.

    Můžete také vytvořit vlastní karantény pro testování nebo analýzu softwaru v chráněném prostředí, kde nebude moci poškodit zbytek vašeho systému.

    Jak jsou pískoviště důležité pro zabezpečení

    Sandbox je těsně řízené prostředí, kde lze spustit programy. Sandboxy omezují to, co může udělat určitý kód, a poskytne mu tolik oprávnění, kolik potřebuje, aniž by přidala další oprávnění, která by mohla být zneužita.

    Například váš webový prohlížeč v podstatě provozuje webové stránky, které navštívíte v karanténě. Jsou omezeny na spouštění ve vašem prohlížeči a přístup k omezené sadě zdrojů - nemohou prohlížet webovou kameru bez oprávnění nebo číst lokální soubory počítače. Pokud webové stránky, které jste navštívili, nebyly izolovány od písku a izolovány od zbytku vašeho systému, návštěva škodlivého webu by byla stejně špatná jako instalace viru.

    Ostatní programy v počítači jsou také v karanténě. Například prohlížeče Google Chrome a Internet Explorer běží v samotné karanténě. Tyto prohlížeče jsou programy spuštěné v počítači, ale nemají přístup k vašemu počítači. Běží v režimu s nízkým povolením. Dokonce i v případě, že webová stránka zjistila bezpečnostní chybu zabezpečení a podařilo se převzít kontrolu nad prohlížečem, bude muset uniknout z karantény prohlížeče, aby opravdu poškodil. Spuštěním webového prohlížeče s menšími oprávněními získáváme bezpečnost. Bohužel Mozilla Firefox stále nefunguje v karanténě.

    Co je již Sandboxed

    Většina kódů, které vaše zařízení spouští každý den, je již chráněná pro vaši ochranu:

    • Webové stránky: Váš prohlížeč v podstatě rozděluje webové stránky, které načte. Webové stránky mohou spustit kód JavaScript, ale tento kód nemůže dělat nic, co chce - pokud se kód JavaScript pokusí získat přístup k místnímu souboru v počítači, žádost selže.
    • Obsah plug-in prohlížeče: Obsah načítaný plug-inmi prohlížeče - například Adobe Flash nebo Microsoft Silverlight - je spuštěn také v karanténě. Přehrávání flash hry na webové stránce je bezpečnější než stahování hry a běží jako standardní program, protože Flash izoluje hru od zbytku vašeho systému a omezuje to, co může udělat. Prohlížečské pluginy, zejména Java, jsou častým cílem útoků, které využívají slabé stránky zabezpečení, aby unikly této karanténě a poškodily.
    • PDF a dalších dokumentů: Program Adobe Reader nyní spouští soubory PDF v karanténě, čímž jim zabraňuje úniku z prohlížeče PDF a manipulaci se zbytkem počítače. Aplikace Microsoft Office má také režim sandbox, který zabrání nebezpečným makrám poškozovat váš systém.
    • Prohlížeče a další potenciálně zranitelné aplikace: Webové prohlížeče běží v režimech s nízkým oprávněním a v karanténě, aby se ujistili, že nemohou způsobit velké škody, pokud jsou ohroženi:
    • Aplikace pro mobily: Mobilní platformy spouštějí své aplikace v karanténě. Aplikace pro iOS, Android a Windows 8 jsou vyloučeny z mnoha věcí, které standardní desktopové aplikace mohou dělat. Musí ohlásit oprávnění, pokud chtějí něco udělat jako přístup k vaší poloze. Na oplátku získáváme určitou bezpečnost - sandbox také izoluje aplikace od sebe navzájem, takže se nemohou vzájemně manipulovat.
    • Programy Windows: Ovládání uživatelských účtů funguje jako trochu pískovce, což v podstatě omezuje desktopové aplikace systému Windows z úprav systémových souborů, aniž by vás o to nejprve požádali. Všimněte si, že je to velmi minimální ochrana - každý desktopový program Windows by se mohl rozhodnout sedět na pozadí a zaznamenat například všechny stisknutí kláves. Řízení uživatelských účtů omezuje přístup k systémovým souborům a systémovým nastavením.

    Jak na Sandbox libovolný program

    Programy na ploše nejsou ve výchozím nastavení karanténní. Jistě, existuje UAC - ale jak jsme uvedli výše, je to velmi minimální pískoviště. Pokud chcete otestovat program a spustit jej bez toho, aby byl schopen zasahovat do zbytku vašeho systému, můžete spustit jakýkoli program v karanténě.

    • Virtuální stroje: Program virtuálních strojů, jako je VirtualBox nebo VMware, vytváří virtuální hardwarová zařízení, která používá pro spuštění operačního systému. Druhý operační systém běží v okně na ploše. Celý tento operační systém je v podstatě karanténní, protože nemá přístup k ničemu jinému než virtuální stroj. Můžete nainstalovat software do virtualizovaného operačního systému a spustit tento software, jako by běžel na standardním počítači. To by vám umožnilo nainstalovat malware a analyzovat ho, například - nebo jen nainstalovat program a zjistit, zda dělá něco špatného. Programy virtuálních počítačů také obsahují funkce snímků, abyste mohli "vrátit" svůj hostující operační systém do stavu, ve kterém byl v počítači před instalací špatného softwaru.

    • Sandboxie: Sandboxie je program Windows, který vytváří karantény pro aplikace Windows. Vytváří izolované virtuální prostředí pro programy, které jim brání provádět trvalé změny v počítači. To může být užitečné pro testování softwaru. Podrobnější informace najdete v úvodu k Sandboxie.


    Sandboxing není něco, na co se průměrný uživatel musí starat. Programy, které používáte, provádí práci na pískovišti v pozadí, aby byla bezpečná. Měli byste však mít na paměti, co je sandbox a co není - proto je bezpečnější načíst libovolný web než spustit libovolný program.

    Nicméně, pokud chcete sandbox standardní desktop program, který by normálně nebyl sandboxed, můžete to udělat s jedním z výše uvedených nástrojů.