Инфопульс Украина corporate blog
Information Security
System Programming
Virtualization
Development for Windows
Comments 122
+1
другой пример — необходимость проверить что-то на «чистой» версии Windows.

Механизм, хороший и нужный. Но, если при запуске в песочнице чего-то будет не хватать, но это есть в основной системе, что делать, устанавливать в песочнице или что-то другое?

0
Если что-то есть в основной системе — оно уже доступно в песочнице.
+1
Видимо «чистая» от того самого приложения, которое надо проверить. Например keygen, который еще и 10 разных зверей выкачает и установит.
Запустил, получил результат — удалил.
+1
Видимо «чистая» от того самого приложения, которое надо проверить.

Но тогда, чтобы всеже проверить что-то на чистой ОС придется таки ставит эту самую Windows/

+1
Тогда это будет как-то неудобно… допустим, мне нужно проверить работу некоторой программы, но для этого я должен как-то подсунуть ей данные?

Хотя, смущает «every time Windows Sandbox runs, it’s as clean as a brand-new installation of Windows».

С другой стороны, если песочница позиционируется как место для недоверенных приложений, логично не показывать ей пользовательские данные, поскольку брандмауэр Windows по умолчанию не препятствует выходу приложения в сеть (и данные могут быть украдены).
0
Ну вот именно — Песочница не должна получать доступ ни к чему, что пользователь ей явно не предоставит.
0
Наконец-то встроенное подобие sandboxie
Как только Вы закрываете Песочницу — всё её содержимое безвозвратно уничтожается.
Надеюсь можно будет сохранять состояние песочниц (upd Проморгал снимки)
Еще хотелось бы выхода для домашней версии…

+1

В статье же написано про использование «снимков». Так что да, видимо, можно будет сохранять после настройки и запускать из снимков.

0
Надеюсь, будет возможность «залезть» внутрь снимков, чтобы вытащить оттуда изменённый приложением файл, например.
0

После запуска — очевидно, что возможно будет. Это же обычный контейнер, будет полный доступ к файловой системе, когда он запущен. ИМХО.

+3
Домашняя версия не умеет Hyper-V и Containers. Учить ее этому не будут => не будет песочницы в домашней версии.
0

Вот за это я не люблю windows. Практически на всех ноутбуках предустановленна винда, но если копнуть чуть поглубже — выясняется, что она кастрирована и многих приятных плюшек в ней не хватает, хотя с точки зрения железа ограничений не должно быть.

+3
Так может там предустановленна такая версия, потому что большинство не готовы за гипервизор и другие «не очень нужные штуки» платить несколько лишних тысяч при покупке ноута?
+2
Если Вам мало домашней версии, Вы всегда можете обновить ее до Про.
0
Я добавил request для перманентных песочниц им в Feedback Hub. Плюсуйте!
+4
off Какое-то хождение по кругу. В Windows 7 появился похожий «режим XP». Кому этого мало появился Hyper-V. Теперь своеобразный возврат к режиму ХР.
Собственно осталось опробовать в реальности. Когда это обновление будет?
0
Это обновление прилетело вчера через 2 часа после Вашего сообщения.

P.S. Глюк №1. Если добавить опцию, но нажать «перегрузить позже» (выключить комп штатно и включить потом) — оно не появляется в пуске.
Глюк №2. Удалил и добавил снова. Перегрузился как положено. Оно появилось в пуске, но по нажатию ничего не происходит.
0
P.S. Глюк №1. Если добавить опцию, но нажать «перегрузить позже» (выключить комп штатно и включить потом) — оно не появляется в пуске.
Сейчас выключение компа не настоящее. Там по умолчанию гибернация происходит (может частичная).
+2
Так это и есть Hyper-V, только с динамически создающимся образом
0
Вначале был Connectix Virtual PC.
Потом их купили Мелкомягкие.
Потом, после долгого раздувания размера проги, её начали впихивать в Виндовс.
И очень долго, работа с ЮСБ там была сильно ограниченной (в оригинале ЮСБ не было).
Интересно как дела обстоят сейчас?
+3
после долгого раздувания размера проги
по-моему в самом последнем релизе она весила мегабайт 10 от силы
Интересно как дела обстоят сейчас?
десять лет назад на замену ей пришёл Hyper-V
0
Ну молодцы, движутся потихоньку в направлении Qubes OS
Ждем полную виртуализацию приложений и вкладок в браузере.
Вирусы навряд ли полностью исчезнут, но писать их будет уже существенно сложнее.
+20

Ждем серии статей под заголовками "Уязвимость <звучное_название>. Побег из windows sandbox"

+2
Решил обновить домашнюю версию (не спрашивайте зачем)
Ругнулся:


Удалил Sandboxie, обновился — новой фичи нет, что было ожидаемо
Переустановил Sandboxie
Не работает, выдает ошибки, видимо его нужно переписывать под новые компоненты…
На всякий проверил VirtualBox — работает
Откатился назад, причем очень быстро
+1
Несовместимость исправлена в последней бета версии Sandboxie. Скачать можно с официального форума. Работает стабильно.
+1
Sandboxie под каждый мажорный билд исправляют, там внутри драйвера огромная портянка правила и нюансов работы. Расплата за то, что Sandboxie старается по-максимуму использовать то, что предоставляет операционная система, а не изобретать велосипеды.
0
Расплата за то, что Sandboxie старается по-максимуму использовать то, что предоставляет операционная система, а не изобретать велосипеды.

Так наоборот, если использовать только публичные API, ничего так ломаться не должно. Но они наверняка используют кучу недокументированных.
+1
Unified Write Filter
Позволяет перехватывать всю запись на диск в отдельный кеш и сбрасывать его возвращая систему в исходное состояние.
+3
Минимум 4 ГБ (рекомендовано 8 ГБ) оперативной памяти
Процессор с двумя ядрами (рекомендуется 4 с поддержкой hyper-threading)


нифига себе «песочница»…
+4
Кажется девайсы с 1 ядром не выпускают уже лет 100. А запускать 10 на менее 4ГБ оперативы, это прям не надо так.
+1

Будете смеяться, на работе компы пришли с 2 Гб оперативки и лицензией Win10. Закупщиков хочется задушить.

+1
более того, попадались какие-то ноуты (уже не вспомню модель) где 2гб оперативки распаянных на плате. без дополнительных слотов.
зато с вин10 и недорогие!
0
Хз, десятка норм работала у меня на ноуте с 1ГБ памяти. Вот меньше уже не стоит, а 1гб ей вполне норм. Ставить только 32 надо естественно, и всё.
0
Она-то будет может и норм работать. Но вы уже работать на ней будете не норм.
0
По собственному впечатлению нетбук с Win10 резвее работает, чем с Win7Starter и даже чем ХР.
0
и даже чем ХР.

Разве что без дров, что, к сожалению, не удивительно.
0
нормально работает десятка на древнейшем ноуте с T7500, 2гб памяти (больше чипсет не умеет) и ATI Xpress 200, ssd решает
0
Нормально бывают разные. Вы с него на госуслуги зайдите. Попрактикуетесь в многоэтажном матостроении.
+6
Это всё прикольно до той поры пока не надо будет запустить VMWare или VBox, т.к. виндовый Hyper-V будет болтаться в памяти как сервис, ну а вышеобозначенное ПО при попытке запуска будет ругаться, что в системе уже запущен некий виртуализатор. По крайней мере при установке родного виндового Hyper-V было именно так.
+1
Так и осталось. Хотя, в новой вчерашней виртуалбокс сделали нормальное определение этой ситуации. Теперь виртуалбокс, хоть и гораздо медленнее, но работает без VT-x, которую захватывает Hyper-V
+1
Нет, софтовая виртуализация была доступна всегда, но она не умеет 64-битные машины и многопроцессорные гостевые системы. Насколько я понял из Changelog'а, в VBox 6 добавили возможность прямого использования гипервизора Hyper-V вместо родного VBox'овского.
0
VirtualBox 6.0 released
•Added support for using Hyper-V as the fallback execution core on Windows host, to avoid inability to run VMs at the price of reduced performance
Как изящно выразился rseiler на форуме VBox:
I've since seen the one new line there mentioning Hyper-V, but it's a bit cryptic.
В частности:
Аналогично как и в Android emulator ( точнее как в QEMU ) используется API WHPX ( Windows Hypervisor Platform )?
0
К сожалению, не знаю, как это работает в QEMU, да и в VB пока ещё не пробовал (собственно, особо и не планировал пробовать), но для меня строчка звучит достаточно внятно и разумно: использование HV в качестве исполняющего вирт. машину ядра (гипервизора), чтобы запускаться хоть как-то, а не бессильно вопить об ошибке (из-за захваченной HV виртуализации).

Разумеется, остаётся много вопросов: как конфигурация машины транслируется в HV? Неужели там существуют прям вот в точности такие же устройства, как эмулирует у себя VB? Или там используется не HV как платформа, а исключительно какое-нибудь низкоуровневое исполнительное ядро, а эмуляция устройств осуществляется самим VB? И с чем связано снижение производительности? Но это всё уже так, технические детали.
+1
Это всё прикольно до той поры пока не надо будет запустить VMWare
Уже было писал об этом:
VMware всё равно придётся решать проблему VMware Workstation in Hyper-V.

Обучение отключению Credential Guard/Device Guard ( Turn on Virtualization Based Security ) в Article 2146361 вызывает «сложные эмоции» у заботящихся о защите от «утечки паролей»

В качестве выхода из ситуации, было бы неплохо программистам VMWare освоить API WHPX ( Windows Hypervisor Platform )
+1
Не увидел в статье описания, что именно из текущей системы копируется в песочницу. А вдруг там окажутся всякие кэши-куки-пароли браузеров, и запущенный внутри троян радостно это всё сдампит и отошлёт создателю, после чего помрёт вместе с песочницей с чувством выполненного долга.
0
Я не вникал в дели, но логично, что только системные файлы. Никакие пользовательские данные из песочницы недоступны. Даже системные фалы, которые изменяются, в песочнице сбрасываются до исходного состояния.
+2
Проблема в том, что у песочниц много разных задач. Можно проверять поведение программы в чистой системе, можно делать пробную установку (когда программе доверяешь, но не хочешь загаживать систему), можно запускать потенциально зловредные программы… Во всех этих случаях требования к песочнице и её наполнению будут разные, а статья в такие детали как-то не вникает.
0
Кто может оценить надёжность решения в плане проникновения из гостевой ОС в хостовую? И что именно оказывается в гостевой ОС, например, мои куки из браузера? Вопросов вного. К VB или VMW как-то доверие какое-то есть, а тут как-то… непонятно)
0
Надо конечно проверять, но думаю, они в эту виртуалку не копируют профиль пользователя
0
Тогда это вообще не «встроенный Sandboxie», как уже порадовались выше в комментариях…

В принципе, штука всё равно полезная, если, например, нужно проверить работу приложения на «чистой системе в вакууме» или использовать кейген (который /кряк (очевидно, пропатчиваемый файл придётся закидывать в контейнер руками). Но однозначно хотелось бы больше возможностей по её настройке.
+1
Годная фича как по мне, было бы не плохо если был бы доп. API или инструментарий который бы позволял следить например что приложение делало в песочнице (какие файлы создавала/читала, какие системные вызовы вызывала и т.д.) и можно было «мокать» какие то вызовы.
0
Ждать не нужно. CheckPoint вам в руки. Для любителей отечественого софта — Kaspersky Anti Targeted Attack.
Проблема в том что весть софт шифровальшиков уже научился работать с песочницами:
Стартую не сразу. Определяют что запущены в виртуальной машине и вообще не стартуют.
0
Справедливости ради, производители песочниц тоже в курсе этих моментов и работают над определением способов определения песочниц: прокрутка времени, выявление попыток определить реальное время через вычисление «сложных» вещей, анализ иных признаков приложения.
0

Интересно, есть ли у них настройки, чтобы:
1) разрешить/запретить доступ в Интернет
2) контролировать, какие папки доступны из песочницы/монтируются туда

0

Ну раз это надстройка над HyperV, то наверное можно будет настроить сеть.

0
Неплохо. Долго ждал подобную функциональность. Надеюсь, не забросят
+2
Как-то не очень коррелирует присутствие этой функции только в про и энтерпрайз версиях и вот такое её предназначение:
Случалось ли Вам оказаться в ситуации, когда необходимо запустить какую-то программу, но Вы не совсем уверены в источнике её происхождения?
Запуск сомнительных программ? На предприятии?
+1
Отвечаю: да, случалось, но разумеется давным давно у нас уже есть подобные песочницы. Соглашусь с вами, что домашнему пользователю такой инструмент нужнее.
0

А как же! Самописный софт всякий, антивирус новый, да тот же Skype, в конце концов! :)

0
Если основная ОС стабильно обновляется, а Песочница запускает ту же версию ОС, то откуда в ней могут взяться обновления?
0
Суть, наверно в том, чтобы сначала накатить обновления в песочнице и проверить работоспособность песочницы и ПО до того, как ставить обновления на хост.
0

Минуточку. В статье сказано следующее:


В точности такое, какой была Ваша ОС сразу после её установки.

Так проникают апдейты хоста в перочницу или нет?

0
Пока без понятия и мы не сможем проверить это как минимум до следующего после 18305 обновления.
+2
Первое, что я проверю, работает ли песочница в песочнице?
0
Не очень понял, если реальные файлы «линкуются»(софтлинк?) внутрь песочницы — я могу их модифицировать изнутри этой самой песочницы? Или они всё же линкуются в read-only режиме? Из статьи это не очевидно.
0
Вот да, мне тоже интересно.
1. Если файлы линкуются read-only, далеко не всё можно будет проверить.
2. Если есть доступ на запись, то прощай безопасность.
3. Хороший вариант было бы использовать технологию аналогичную снапшотам, когда идёт запись изменений в отдельный файл.

Также, из статьи не ясно, но хотелось бы узнать:
— можно ли запустить две песочницы одновременно
— что происходит, когда прилинкованные файлы кем-то извне изменяются
— можно ли будет внутри песочницы запустить песочницу
— насколько удобный механизм экстренной остановки песочницы без разрушения/с разрушением. Например, в связи с тем, что графика обрабатывается «как есть» —
Основная ОС, получив команды отрисовки графики, воспринимает их так, как будто они пришли от локально запущенного приложения и соответствующим образом выполняет их, выделяя и управляя необходимыми ресурсами
, сходу приходят на ум некогда популярные вирусы-блокировщики экрана и всяческие фишинговые штучки (навроде запуска внутри песочницы ещё одной песочницы (см. мой предыдущий вопрос) незаметно для администратора и последующей эмуляции работы в родной ОС при разрушении внутренней песочницы)
0
Штука прикольная — но, на мой взгляд, это встроенная в ОС Vmware: песочится не только приложение, а вся ОС. Часто хочется изолировать только 1 приложение, потециально опасное, такое как браузер, чтобы, в случае попадания на вредоносный сайт, не заразить машину. И «запесочить» только браузер, причем не вновь установленный, а уже присутствующий в системе браузер запустить в песочнице в один клик, прозрачно для пользователя. Поэтому я все еще выбираю Shade Sandbox :)
+1
Приходилось пользоваться virtualbox чтобы в её песочнице пускать winxp в которой устанавливались дрова для сканера и remotetwain что бы можно было сканировать из новой винды. т.к. дров для десятки нет. Вот это прикольная штука, но вынужденная.
+1
Вещь безусловно интересная, но в хозяйстве мало необходимая, а вот поддержка нескольких мониторов хромает до сих пор.
+3

Лол, да все не так. Приложения открываются на каком хотят мониторе, могут даже на выключенном телевизоре. Особенно радует вижуала, которая диалог поиска может на другом дисплее открыть. Очень удобно. А если разный дпи то со скелингом постоянно проблемы какие-то.
Игры запускаются обычно только на первом мониторе, причем некоторые на весь виртуальный дисплей растягиваются. 21ый век, все для удобства.


Кнопкой павер не всегда компьютер выключить можно, то прилагаю какая-нибудь зависнет, то вообще пустой список.


А песочница мне очень нужна, да, я прям пока новость эту не прочитал и не понимал как она мне нужна)

0
Приложения открываются на каком хотят мониторе, могут даже на выключенном телевизоре.
К сожалению спецификация DDC не позволяет определить, включен телевизор или нет. Можно только определить, подключен ли интерфейсный кабель. И если кабель отключить, то все окна переместятся на доступные устройства отображения. Не знаю, чем ещё вам помочь.
0
Что само по себе удивительно, определить разрешение экрана она позволяет а состояние монитора нет. Мне кажется электротехнически тут никаких проблем нет, просто эффективным менеджерам было лень.

ЗЫ. Но по остальным проблемам вопрос остаётся открытым. И видимо никогда решен не будет.

А Вы в Микрософт работаете, раз помощь свою предлагаете?
0
Мне кажется электротехнически тут никаких проблем нет
Ну это хорошо, что вам кажется. Не поспоришь.
0
Банально при перемещении по виртуальным столам происходит перемещение на обоих мониторах. Посмотрите на то, как реализована работа с несколькими мониторами в macOS.
0
Так не поможет, рабочие столы синхронно меняются на всех экранах, даже если у них разное содержимре.
+1
Когда же разработчики винды решатся перевести все приложения в контейнеры: uwp, обычные exe и т.д. Причем чтобы можно было их устанавливать как из store, так и из своих источников, как на android.
Чтобы на новом компе после логина сразу все ставилось, включая данные… и общие библиотеки чтобы и разные версии одновременно…
0
Чтобы на новом компе после логина сразу все ставилось

Тоже этого джва года жду.


Пока что юзаю chocolately и файл с установленным софтом храню в облаке.

0
Тогда хочу узнать, а нормально ли он работает? В смысле, не будет постоянного чувства третьего колеса?
После того как на айфонах сделали фичу когда подносишь новый смартфон к старому и все сразу перекачивается, делая новый смартфон «твоим» за 5-10 минут, в майкрософте 100% должны тоже так сделать.
0

Работает нормально, но не без неудобств — нужно установить сам choco через powershell и не забывать периодически синхронизировать список установленных программ (можно в gui экспорт делать).
Обновление программ тоже вручную (ну или в планировщик задачу добавить).


Но жирный плюс — не нужно по инсталляторам ходить и тыкать кнопочки

+1
Чтобы на новом компе после логина сразу все ставилось, включая данные… и общие библиотеки чтобы и разные версии одновременно…

А я почему-то наоборот не хочу, чтобы все мои данные хранились где-то, кроме контролируемых мною устройств.
0
Разработчики винды не могут всё сделать за других разработчиков — слишком многие используют всякие недокументированные возможности, хаки и костыли. Для сторонних разработчиков они уже сделали: docs.microsoft.com/en-us/windows/msix
0
Чтобы на новом компе после логина сразу все ставилось, включая данные… и общие библиотеки чтобы и разные версии одновременно…

Напоминает ноду.жс, которая все свои нпм-ы хранит в роаминг профайле ;)
0
Очень нужная фича для меня, спасибо. Я ради неё купил вторую лицензию венды, чтобы запускать в виртуалке. Не самый приятный опыт, скажу я вам, активация слетает только так, постоянно звоню в Москву, не говоря уже про стоимость самой лицензии. Так ещё и Pro версия требуется для RDP. У меня на хосте Pro, на госте честно говоря жмотюсь, из-за этого один важный юз-кейс не работает, проброс USB-устройства. Интересно, как с этим у этой песочницы. Скорее всего никак, но вдруг?
0
Я правильно понимаю, что это же вот такой новый лёгкий способ продлевать свои Trial'ные версии бесконечно? =)
0

По всей видимости, человек каждый день в песочнице ставить томаты собирается

+1
> Песочница Windows построена на технологии, которая называется Windows Containers. Контейнеры разрабатывались (и давно используются) для работы в облаке. Microsoft взял уже достаточно зрелую и протестированную технологию и доработал её для пользователей десктопной Windows.
Угу, и в статье ни одного упоминания, например, про Docker.
0
А что, Докер? Имеются ввиду виндовые контейнеры, которые они дорабатывали в том числе для Docker for Windows. Но как это относится к статье?
0
Относится так, что прочтя фразу, сторонний читатель может подумать, что до MS контейнерами никто не занимался.
0

Читая ваш комментарий, посторонний читатель может подумать, что до Docker никто контейнерами не занимался...

0
Не понятно, зачем это назвали песочницей, когда по описанию — виртуальная машина. Песочница это Sandboxie, смысл в том, чтобы не использовать дополнительные ресурсы.
+1
Судя по тексту, оверхед тут минимальный, на уровне OpenVZ для Linux.
0

Вы неверно понимаете смысл песочницы, там речь не про ресурсы.

0
Добрый день! Хотел воспользоваться песочницей, в свое время даже купил лицензию на версию Enterprise, и не нашел этой опции в настройках, у меня версия 17763, и теперь мне нужно ждать какого то официального обновления или переустанавливать на 18305 билд и снова платить(хотя есть торренты), что посоветуете?
0
1) Можно дождаться официального обновления 1903, которое будет в апреле-мае
2) Можно записаться в программу инсайдеров в параметрах ОС, и получить предварительную сборку. Параметры -> Обновление и Безопасность -> Программа предварительной оценки Windows
3) Можно скачать откуда-нибудь (я бы рекомендовал официальный сайт МС, но там тоже через программу Windows Insider insider.windows.com) образ 1903 и через него обновиться (лицензия никуда не денется, если там не zver cd, конечно).

Вообще в 10ке лицензия привязывается к оборудованию и после переустановки на том же оборудовании она сама должна активироваться.
0
Ох спасибо за быстрый ответ, попробую через Insider Program, если нет, то подожду весны уже, особо не горит, в данный момент использую Sandboxie для подозрительных программ.
0
А можно ли как то управлять песочницой из командной строки? Например, мне нужно выполнить некий волшебный скрипт?
0

Нет, через консоль нельзя, но можно через конфиг подключить папку со скриптом и указать команду, которая будет исполняться при запуске. Здесь есть информация: https://remontka.pro/sandbox-windows-10/

0
Ага, спасибо за ссылку.
Еще вопрос, обойти как то ограничение одного запуска песочницы на хосте нельзя?
0
Вещь интересная, но почему-то перестал работать VirtualBox. Пришлось отключить, т.к. вбокс мне нужнее. Как думаете, реально будет как-то совместить (я не говорю одновременная работа, хотя бы по очереди), или нереально?
Only those users with full accounts are able to leave comments., please.