Comments 122
другой пример — необходимость проверить что-то на «чистой» версии Windows.

Механизм, хороший и нужный. Но, если при запуске в песочнице чего-то будет не хватать, но это есть в основной системе, что делать, устанавливать в песочнице или что-то другое?

Видимо «чистая» от того самого приложения, которое надо проверить. Например keygen, который еще и 10 разных зверей выкачает и установит.
Запустил, получил результат — удалил.
Видимо «чистая» от того самого приложения, которое надо проверить.

Но тогда, чтобы всеже проверить что-то на чистой ОС придется таки ставит эту самую Windows/

Тогда это будет как-то неудобно… допустим, мне нужно проверить работу некоторой программы, но для этого я должен как-то подсунуть ей данные?

Хотя, смущает «every time Windows Sandbox runs, it’s as clean as a brand-new installation of Windows».

С другой стороны, если песочница позиционируется как место для недоверенных приложений, логично не показывать ей пользовательские данные, поскольку брандмауэр Windows по умолчанию не препятствует выходу приложения в сеть (и данные могут быть украдены).
Ну вот именно — Песочница не должна получать доступ ни к чему, что пользователь ей явно не предоставит.
Наконец-то встроенное подобие sandboxie
Как только Вы закрываете Песочницу — всё её содержимое безвозвратно уничтожается.
Надеюсь можно будет сохранять состояние песочниц (upd Проморгал снимки)
Еще хотелось бы выхода для домашней версии…

В статье же написано про использование «снимков». Так что да, видимо, можно будет сохранять после настройки и запускать из снимков.

Надеюсь, будет возможность «залезть» внутрь снимков, чтобы вытащить оттуда изменённый приложением файл, например.

После запуска — очевидно, что возможно будет. Это же обычный контейнер, будет полный доступ к файловой системе, когда он запущен. ИМХО.

Домашняя версия не умеет Hyper-V и Containers. Учить ее этому не будут => не будет песочницы в домашней версии.

Вот за это я не люблю windows. Практически на всех ноутбуках предустановленна винда, но если копнуть чуть поглубже — выясняется, что она кастрирована и многих приятных плюшек в ней не хватает, хотя с точки зрения железа ограничений не должно быть.

Так может там предустановленна такая версия, потому что большинство не готовы за гипервизор и другие «не очень нужные штуки» платить несколько лишних тысяч при покупке ноута?
Если Вам мало домашней версии, Вы всегда можете обновить ее до Про.
Я добавил request для перманентных песочниц им в Feedback Hub. Плюсуйте!
off Какое-то хождение по кругу. В Windows 7 появился похожий «режим XP». Кому этого мало появился Hyper-V. Теперь своеобразный возврат к режиму ХР.
Собственно осталось опробовать в реальности. Когда это обновление будет?
Это обновление прилетело вчера через 2 часа после Вашего сообщения.

P.S. Глюк №1. Если добавить опцию, но нажать «перегрузить позже» (выключить комп штатно и включить потом) — оно не появляется в пуске.
Глюк №2. Удалил и добавил снова. Перегрузился как положено. Оно появилось в пуске, но по нажатию ничего не происходит.
P.S. Глюк №1. Если добавить опцию, но нажать «перегрузить позже» (выключить комп штатно и включить потом) — оно не появляется в пуске.
Сейчас выключение компа не настоящее. Там по умолчанию гибернация происходит (может частичная).
Так это и есть Hyper-V, только с динамически создающимся образом
Вначале был Connectix Virtual PC.
Потом их купили Мелкомягкие.
Потом, после долгого раздувания размера проги, её начали впихивать в Виндовс.
И очень долго, работа с ЮСБ там была сильно ограниченной (в оригинале ЮСБ не было).
Интересно как дела обстоят сейчас?
после долгого раздувания размера проги
по-моему в самом последнем релизе она весила мегабайт 10 от силы
Интересно как дела обстоят сейчас?
десять лет назад на замену ей пришёл Hyper-V
Ну молодцы, движутся потихоньку в направлении Qubes OS
Ждем полную виртуализацию приложений и вкладок в браузере.
Вирусы навряд ли полностью исчезнут, но писать их будет уже существенно сложнее.

Ждем серии статей под заголовками "Уязвимость <звучное_название>. Побег из windows sandbox"

Решил обновить домашнюю версию (не спрашивайте зачем)
Ругнулся:


Удалил Sandboxie, обновился — новой фичи нет, что было ожидаемо
Переустановил Sandboxie
Не работает, выдает ошибки, видимо его нужно переписывать под новые компоненты…
На всякий проверил VirtualBox — работает
Откатился назад, причем очень быстро
Несовместимость исправлена в последней бета версии Sandboxie. Скачать можно с официального форума. Работает стабильно.
Sandboxie под каждый мажорный билд исправляют, там внутри драйвера огромная портянка правила и нюансов работы. Расплата за то, что Sandboxie старается по-максимуму использовать то, что предоставляет операционная система, а не изобретать велосипеды.
Расплата за то, что Sandboxie старается по-максимуму использовать то, что предоставляет операционная система, а не изобретать велосипеды.

Так наоборот, если использовать только публичные API, ничего так ломаться не должно. Но они наверняка используют кучу недокументированных.
Unified Write Filter
Позволяет перехватывать всю запись на диск в отдельный кеш и сбрасывать его возвращая систему в исходное состояние.
Минимум 4 ГБ (рекомендовано 8 ГБ) оперативной памяти
Процессор с двумя ядрами (рекомендуется 4 с поддержкой hyper-threading)


нифига себе «песочница»…
Кажется девайсы с 1 ядром не выпускают уже лет 100. А запускать 10 на менее 4ГБ оперативы, это прям не надо так.

Будете смеяться, на работе компы пришли с 2 Гб оперативки и лицензией Win10. Закупщиков хочется задушить.

более того, попадались какие-то ноуты (уже не вспомню модель) где 2гб оперативки распаянных на плате. без дополнительных слотов.
зато с вин10 и недорогие!
Хз, десятка норм работала у меня на ноуте с 1ГБ памяти. Вот меньше уже не стоит, а 1гб ей вполне норм. Ставить только 32 надо естественно, и всё.
Она-то будет может и норм работать. Но вы уже работать на ней будете не норм.
По собственному впечатлению нетбук с Win10 резвее работает, чем с Win7Starter и даже чем ХР.
и даже чем ХР.

Разве что без дров, что, к сожалению, не удивительно.
нормально работает десятка на древнейшем ноуте с T7500, 2гб памяти (больше чипсет не умеет) и ATI Xpress 200, ssd решает
Нормально бывают разные. Вы с него на госуслуги зайдите. Попрактикуетесь в многоэтажном матостроении.
Это всё прикольно до той поры пока не надо будет запустить VMWare или VBox, т.к. виндовый Hyper-V будет болтаться в памяти как сервис, ну а вышеобозначенное ПО при попытке запуска будет ругаться, что в системе уже запущен некий виртуализатор. По крайней мере при установке родного виндового Hyper-V было именно так.
Так и осталось. Хотя, в новой вчерашней виртуалбокс сделали нормальное определение этой ситуации. Теперь виртуалбокс, хоть и гораздо медленнее, но работает без VT-x, которую захватывает Hyper-V
Нет, софтовая виртуализация была доступна всегда, но она не умеет 64-битные машины и многопроцессорные гостевые системы. Насколько я понял из Changelog'а, в VBox 6 добавили возможность прямого использования гипервизора Hyper-V вместо родного VBox'овского.
VirtualBox 6.0 released
•Added support for using Hyper-V as the fallback execution core on Windows host, to avoid inability to run VMs at the price of reduced performance
Как изящно выразился rseiler на форуме VBox:
I've since seen the one new line there mentioning Hyper-V, but it's a bit cryptic.
В частности:
Аналогично как и в Android emulator ( точнее как в QEMU ) используется API WHPX ( Windows Hypervisor Platform )?
К сожалению, не знаю, как это работает в QEMU, да и в VB пока ещё не пробовал (собственно, особо и не планировал пробовать), но для меня строчка звучит достаточно внятно и разумно: использование HV в качестве исполняющего вирт. машину ядра (гипервизора), чтобы запускаться хоть как-то, а не бессильно вопить об ошибке (из-за захваченной HV виртуализации).

Разумеется, остаётся много вопросов: как конфигурация машины транслируется в HV? Неужели там существуют прям вот в точности такие же устройства, как эмулирует у себя VB? Или там используется не HV как платформа, а исключительно какое-нибудь низкоуровневое исполнительное ядро, а эмуляция устройств осуществляется самим VB? И с чем связано снижение производительности? Но это всё уже так, технические детали.
Это всё прикольно до той поры пока не надо будет запустить VMWare
Уже было писал об этом:
VMware всё равно придётся решать проблему VMware Workstation in Hyper-V.

Обучение отключению Credential Guard/Device Guard ( Turn on Virtualization Based Security ) в Article 2146361 вызывает «сложные эмоции» у заботящихся о защите от «утечки паролей»

В качестве выхода из ситуации, было бы неплохо программистам VMWare освоить API WHPX ( Windows Hypervisor Platform )
Не увидел в статье описания, что именно из текущей системы копируется в песочницу. А вдруг там окажутся всякие кэши-куки-пароли браузеров, и запущенный внутри троян радостно это всё сдампит и отошлёт создателю, после чего помрёт вместе с песочницей с чувством выполненного долга.
Я не вникал в дели, но логично, что только системные файлы. Никакие пользовательские данные из песочницы недоступны. Даже системные фалы, которые изменяются, в песочнице сбрасываются до исходного состояния.
Проблема в том, что у песочниц много разных задач. Можно проверять поведение программы в чистой системе, можно делать пробную установку (когда программе доверяешь, но не хочешь загаживать систему), можно запускать потенциально зловредные программы… Во всех этих случаях требования к песочнице и её наполнению будут разные, а статья в такие детали как-то не вникает.
Кто может оценить надёжность решения в плане проникновения из гостевой ОС в хостовую? И что именно оказывается в гостевой ОС, например, мои куки из браузера? Вопросов вного. К VB или VMW как-то доверие какое-то есть, а тут как-то… непонятно)
Надо конечно проверять, но думаю, они в эту виртуалку не копируют профиль пользователя
Тогда это вообще не «встроенный Sandboxie», как уже порадовались выше в комментариях…

В принципе, штука всё равно полезная, если, например, нужно проверить работу приложения на «чистой системе в вакууме» или использовать кейген (который /кряк (очевидно, пропатчиваемый файл придётся закидывать в контейнер руками). Но однозначно хотелось бы больше возможностей по её настройке.
Годная фича как по мне, было бы не плохо если был бы доп. API или инструментарий который бы позволял следить например что приложение делало в песочнице (какие файлы создавала/читала, какие системные вызовы вызывала и т.д.) и можно было «мокать» какие то вызовы.
Ждать не нужно. CheckPoint вам в руки. Для любителей отечественого софта — Kaspersky Anti Targeted Attack.
Проблема в том что весть софт шифровальшиков уже научился работать с песочницами:
Стартую не сразу. Определяют что запущены в виртуальной машине и вообще не стартуют.
Справедливости ради, производители песочниц тоже в курсе этих моментов и работают над определением способов определения песочниц: прокрутка времени, выявление попыток определить реальное время через вычисление «сложных» вещей, анализ иных признаков приложения.

Интересно, есть ли у них настройки, чтобы:
1) разрешить/запретить доступ в Интернет
2) контролировать, какие папки доступны из песочницы/монтируются туда

Ну раз это надстройка над HyperV, то наверное можно будет настроить сеть.

Неплохо. Долго ждал подобную функциональность. Надеюсь, не забросят
Как-то не очень коррелирует присутствие этой функции только в про и энтерпрайз версиях и вот такое её предназначение:
Случалось ли Вам оказаться в ситуации, когда необходимо запустить какую-то программу, но Вы не совсем уверены в источнике её происхождения?
Запуск сомнительных программ? На предприятии?
Отвечаю: да, случалось, но разумеется давным давно у нас уже есть подобные песочницы. Соглашусь с вами, что домашнему пользователю такой инструмент нужнее.

А как же! Самописный софт всякий, антивирус новый, да тот же Skype, в конце концов! :)

Если основная ОС стабильно обновляется, а Песочница запускает ту же версию ОС, то откуда в ней могут взяться обновления?
Суть, наверно в том, чтобы сначала накатить обновления в песочнице и проверить работоспособность песочницы и ПО до того, как ставить обновления на хост.

Минуточку. В статье сказано следующее:


В точности такое, какой была Ваша ОС сразу после её установки.

Так проникают апдейты хоста в перочницу или нет?

Пока без понятия и мы не сможем проверить это как минимум до следующего после 18305 обновления.
Не очень понял, если реальные файлы «линкуются»(софтлинк?) внутрь песочницы — я могу их модифицировать изнутри этой самой песочницы? Или они всё же линкуются в read-only режиме? Из статьи это не очевидно.
Вот да, мне тоже интересно.
1. Если файлы линкуются read-only, далеко не всё можно будет проверить.
2. Если есть доступ на запись, то прощай безопасность.
3. Хороший вариант было бы использовать технологию аналогичную снапшотам, когда идёт запись изменений в отдельный файл.

Также, из статьи не ясно, но хотелось бы узнать:
— можно ли запустить две песочницы одновременно
— что происходит, когда прилинкованные файлы кем-то извне изменяются
— можно ли будет внутри песочницы запустить песочницу
— насколько удобный механизм экстренной остановки песочницы без разрушения/с разрушением. Например, в связи с тем, что графика обрабатывается «как есть» —
Основная ОС, получив команды отрисовки графики, воспринимает их так, как будто они пришли от локально запущенного приложения и соответствующим образом выполняет их, выделяя и управляя необходимыми ресурсами
, сходу приходят на ум некогда популярные вирусы-блокировщики экрана и всяческие фишинговые штучки (навроде запуска внутри песочницы ещё одной песочницы (см. мой предыдущий вопрос) незаметно для администратора и последующей эмуляции работы в родной ОС при разрушении внутренней песочницы)
Штука прикольная — но, на мой взгляд, это встроенная в ОС Vmware: песочится не только приложение, а вся ОС. Часто хочется изолировать только 1 приложение, потециально опасное, такое как браузер, чтобы, в случае попадания на вредоносный сайт, не заразить машину. И «запесочить» только браузер, причем не вновь установленный, а уже присутствующий в системе браузер запустить в песочнице в один клик, прозрачно для пользователя. Поэтому я все еще выбираю Shade Sandbox :)
Приходилось пользоваться virtualbox чтобы в её песочнице пускать winxp в которой устанавливались дрова для сканера и remotetwain что бы можно было сканировать из новой винды. т.к. дров для десятки нет. Вот это прикольная штука, но вынужденная.
Вещь безусловно интересная, но в хозяйстве мало необходимая, а вот поддержка нескольких мониторов хромает до сих пор.

Лол, да все не так. Приложения открываются на каком хотят мониторе, могут даже на выключенном телевизоре. Особенно радует вижуала, которая диалог поиска может на другом дисплее открыть. Очень удобно. А если разный дпи то со скелингом постоянно проблемы какие-то.
Игры запускаются обычно только на первом мониторе, причем некоторые на весь виртуальный дисплей растягиваются. 21ый век, все для удобства.


Кнопкой павер не всегда компьютер выключить можно, то прилагаю какая-нибудь зависнет, то вообще пустой список.


А песочница мне очень нужна, да, я прям пока новость эту не прочитал и не понимал как она мне нужна)

Приложения открываются на каком хотят мониторе, могут даже на выключенном телевизоре.
К сожалению спецификация DDC не позволяет определить, включен телевизор или нет. Можно только определить, подключен ли интерфейсный кабель. И если кабель отключить, то все окна переместятся на доступные устройства отображения. Не знаю, чем ещё вам помочь.
Что само по себе удивительно, определить разрешение экрана она позволяет а состояние монитора нет. Мне кажется электротехнически тут никаких проблем нет, просто эффективным менеджерам было лень.

ЗЫ. Но по остальным проблемам вопрос остаётся открытым. И видимо никогда решен не будет.

А Вы в Микрософт работаете, раз помощь свою предлагаете?
Мне кажется электротехнически тут никаких проблем нет
Ну это хорошо, что вам кажется. Не поспоришь.
Банально при перемещении по виртуальным столам происходит перемещение на обоих мониторах. Посмотрите на то, как реализована работа с несколькими мониторами в macOS.
Так не поможет, рабочие столы синхронно меняются на всех экранах, даже если у них разное содержимре.
Когда же разработчики винды решатся перевести все приложения в контейнеры: uwp, обычные exe и т.д. Причем чтобы можно было их устанавливать как из store, так и из своих источников, как на android.
Чтобы на новом компе после логина сразу все ставилось, включая данные… и общие библиотеки чтобы и разные версии одновременно…
Чтобы на новом компе после логина сразу все ставилось

Тоже этого джва года жду.


Пока что юзаю chocolately и файл с установленным софтом храню в облаке.

Тогда хочу узнать, а нормально ли он работает? В смысле, не будет постоянного чувства третьего колеса?
После того как на айфонах сделали фичу когда подносишь новый смартфон к старому и все сразу перекачивается, делая новый смартфон «твоим» за 5-10 минут, в майкрософте 100% должны тоже так сделать.

Работает нормально, но не без неудобств — нужно установить сам choco через powershell и не забывать периодически синхронизировать список установленных программ (можно в gui экспорт делать).
Обновление программ тоже вручную (ну или в планировщик задачу добавить).


Но жирный плюс — не нужно по инсталляторам ходить и тыкать кнопочки

Чтобы на новом компе после логина сразу все ставилось, включая данные… и общие библиотеки чтобы и разные версии одновременно…

А я почему-то наоборот не хочу, чтобы все мои данные хранились где-то, кроме контролируемых мною устройств.
Разработчики винды не могут всё сделать за других разработчиков — слишком многие используют всякие недокументированные возможности, хаки и костыли. Для сторонних разработчиков они уже сделали: docs.microsoft.com/en-us/windows/msix
Чтобы на новом компе после логина сразу все ставилось, включая данные… и общие библиотеки чтобы и разные версии одновременно…

Напоминает ноду.жс, которая все свои нпм-ы хранит в роаминг профайле ;)
Очень нужная фича для меня, спасибо. Я ради неё купил вторую лицензию венды, чтобы запускать в виртуалке. Не самый приятный опыт, скажу я вам, активация слетает только так, постоянно звоню в Москву, не говоря уже про стоимость самой лицензии. Так ещё и Pro версия требуется для RDP. У меня на хосте Pro, на госте честно говоря жмотюсь, из-за этого один важный юз-кейс не работает, проброс USB-устройства. Интересно, как с этим у этой песочницы. Скорее всего никак, но вдруг?
Я правильно понимаю, что это же вот такой новый лёгкий способ продлевать свои Trial'ные версии бесконечно? =)

По всей видимости, человек каждый день в песочнице ставить томаты собирается

> Песочница Windows построена на технологии, которая называется Windows Containers. Контейнеры разрабатывались (и давно используются) для работы в облаке. Microsoft взял уже достаточно зрелую и протестированную технологию и доработал её для пользователей десктопной Windows.
Угу, и в статье ни одного упоминания, например, про Docker.
А что, Докер? Имеются ввиду виндовые контейнеры, которые они дорабатывали в том числе для Docker for Windows. Но как это относится к статье?
Относится так, что прочтя фразу, сторонний читатель может подумать, что до MS контейнерами никто не занимался.

Читая ваш комментарий, посторонний читатель может подумать, что до Docker никто контейнерами не занимался...

Не понятно, зачем это назвали песочницей, когда по описанию — виртуальная машина. Песочница это Sandboxie, смысл в том, чтобы не использовать дополнительные ресурсы.
Судя по тексту, оверхед тут минимальный, на уровне OpenVZ для Linux.

Вы неверно понимаете смысл песочницы, там речь не про ресурсы.

Добрый день! Хотел воспользоваться песочницей, в свое время даже купил лицензию на версию Enterprise, и не нашел этой опции в настройках, у меня версия 17763, и теперь мне нужно ждать какого то официального обновления или переустанавливать на 18305 билд и снова платить(хотя есть торренты), что посоветуете?
1) Можно дождаться официального обновления 1903, которое будет в апреле-мае
2) Можно записаться в программу инсайдеров в параметрах ОС, и получить предварительную сборку. Параметры -> Обновление и Безопасность -> Программа предварительной оценки Windows
3) Можно скачать откуда-нибудь (я бы рекомендовал официальный сайт МС, но там тоже через программу Windows Insider insider.windows.com) образ 1903 и через него обновиться (лицензия никуда не денется, если там не zver cd, конечно).

Вообще в 10ке лицензия привязывается к оборудованию и после переустановки на том же оборудовании она сама должна активироваться.
Ох спасибо за быстрый ответ, попробую через Insider Program, если нет, то подожду весны уже, особо не горит, в данный момент использую Sandboxie для подозрительных программ.
А можно ли как то управлять песочницой из командной строки? Например, мне нужно выполнить некий волшебный скрипт?

Нет, через консоль нельзя, но можно через конфиг подключить папку со скриптом и указать команду, которая будет исполняться при запуске. Здесь есть информация: https://remontka.pro/sandbox-windows-10/

Ага, спасибо за ссылку.
Еще вопрос, обойти как то ограничение одного запуска песочницы на хосте нельзя?
Вещь интересная, но почему-то перестал работать VirtualBox. Пришлось отключить, т.к. вбокс мне нужнее. Как думаете, реально будет как-то совместить (я не говорю одновременная работа, хотя бы по очереди), или нереально?
Only those users with full accounts are able to leave comments. Log in, please.