Этот материал написан посетителем сайта, и за него начислено вознаграждение.
В своем прошлом блоге «Мнение: почему не стоит сидеть на Windows 7 и 8.1 в 2019 году» я поднимал вопросы безопасности в ОС, теперь хочу рассказать еще об одном эффективном способе поднять защищенность вашей системы.
В версии Windows 10 May 2019 Update появилась крайне полезная функция — Windows Sandbox или песочница. Она представляет собой виртуальную машину, копирующую ваше рабочее окружение. По сравнению с полноценными виртуальными машинами, типа VMware или VirtualBox, у Windows Sandbox есть серьезные плюсы.
рекомендации
3070 Gigabyte Gaming за 50 тр с началом
MSI 3050 за 25 тр в Ситилинке
3080 дешевле 70 тр — цены снова пошли вниз
3070 Gainward Phantom дешевле 50 тр
13700K дешевле 40 тр в Регарде
16 видов <b>4070 Ti</b> в Ситилинке — все до 100 тр
3060 Gigabyte Gaming за 30 тр с началом
13600K дешевле 30 тр в Регарде
4080 почти за 100тр — дешевле чем по курсу 60
12900K за 40тр с началом в Ситилинке
RTX 4090 за 140 тр в Регарде
Компьютеры от 10 тр в Ситилинке
3060 Ti Gigabyte за 42 тр в Регарде
3070 дешевле 50 тр в Ситилинке
Некоторые из них — это скромные системные требования, простота запуска и настройки виртуальной машины. Всего несколько кликов мышью, и Windows Sandbox запущена и работает. Не надо инсталлировать операционную систему в виртуальную машину, все уже скопировано и работает из коробки. Вы попадаете, по сути, в копию своей Windows 10.
Сегодня я расскажу вам, как установить, настроить и запускать Windows Sandbox и как с ее помощью осуществлять безопасный и приватный серфинг в интернете даже по вредоносным сайтам, полными вирусов и троянов.
Для чего это может понадобиться? Например, вам надо скачать какую-нибудь древнюю версию редкой программы, которая есть только на подозрительных сайтах. Сама программа может быть безобидной, а вот сайт, с которого она распространяется, может быть забит троянами, вирусами и эксплойтами. Виртуальная машина или песочница Windows позволит вам совершенно спокойно посещать такие сайты, так как она не имеет пересечения с вашей основной ОС. Если и произойдет заражение, то оно будет ограничено виртуальной машиной.
В плане приватности Windows Sandbox может быть в том случае, если вы не хотите, чтобы другой пользователь компьютера видел, по каким сайтам вы лазаете. Например, вы в гостях, или дома компьютером пользуются два-три человека. Серфинг на Windows Sandbox не оставит никаких следов в основной ОС. Как только вы ее выключите — все данные сотрутся. Даже режим «Инкогнито» в браузере не даст такой приватности.
Ну что же, перейдем к практике. Windows Sandbox встроена в Windows 10 May 2019 Update и Windows 10 November 2019 Update редакций Pro или Enterprise.
Для начала в BIOS активируем функцию виртуализации.
Чтобы включить песочницу, вам надо перейти и поставить галочку в «Панель управления» — «Программы и компоненты» — «Включение или отключение компонентов Windows» — «Песочница Windows».
Можно включить ее и командами PowerShell:
Теперь найдите Windows Sandbox в меню «Пуск», запустите ее и разрешите повышение привилегий.
Теперь можно приступать к интернет-серфингу. В песочнице есть браузеры internet explorer и EDGE.
Для примера я включу www.youtube.com. Все прекрасно воспроизводится. Потребляется около 4-5 ГБ памяти. Процессор Intel Core i5 с четырьмя ядрами загружен на 40-60%. 
Сама песочница внутри себя потребляет 1.3 ГБ.
При желании можно скопировать в нее любой портабельный браузер и пользоваться им, это занимает несколько десятков секунд. Я копирую Comodo Dragon.
Особых фризов и лагов замечено не было. Иногда были редкие подвисания после закрытия окон, и EDGE не захотел проигрывать видео на www.youtube.com, но выручил internet explorer, в нем все прекрасно воспроизводилось.
Для запуска песочницы и ее настройки удобно использовать программу Windows Sandbox Editor от technet. 
Она на английском, но простая и понятная. После ее использования сохранится файл с расширением *.wsb, запуском которого вы будете запускать песочницы с заданными параметрами. Не забывайте включить ускорение посредством GPU в Windows Sandbox, это здорово ускоряет работу с браузером.
Не забывайте, что «Drag and Drop» в окно песочницы не работает, а вот «скопировать» и «вставить» работают. Копирование в случае использования SSD-накопителя происходит довольно быстро. Главное, не забывайте, что все содержимое Windows Sandbox будет уничтожено при закрытии, поэтому надо скопировать информацию в компьютер до выключения.
Итоги
В виде встроенной виртуальной машины Windows Sandbox мы получили не только инструмент проверки подозрительных файлов, но и возможность абсолютного безопасного открытия вредоносных сайтов. Но, не забывайте, что при таком посещении опасных сайтов информация браузера может быть скомпрометирована, поэтому старайтесь не вводить логины и пароли.
Этот материал написан посетителем сайта, и за него начислено вознаграждение.
Одно из самых интересных нововведений последней версии Windows 10 — Песочница (Windows Sandbox), специальное окружение, позволяющее запускать ненадежные программы без последствий для основной операционной системы: своего рода упрощенная виртуальная машина, цель которой дать пользователям без опаски выполнить запуск любой программы. То же самое можно сделать и с использованием виртуальных машин Hyper-V или VirtualBox, но Windows Sandbox будет более простым инструментом для начинающих пользователей.
В этой инструкции подробно о том, как включить (установить) песочницу Windows 10, о возможных настройках, а также некоторая дополнительная информация, которая может оказаться полезной. На всякий случай отмечу, что функция доступна только начиная с Windows 10 версии 1903 в Профессиональной и Корпоративной редакциях, но при желании, включить песочницу можно и в Windows 10 Домашняя. Также может быть полезным: Использование бесплатной песочницы Sandboxie для запуска программ в изолированной среде.
Установка песочницы Windows 10 (Windows Sandbox)
Для установки песочницы в Windows 10, при условии, что ваша система соответствует указанным выше параметрам, достаточно выполнить следующие действия:
- Откройте панель управления (для этого можно использовать поиск в панели задач или нажать Win+R и ввести control), переключите вид панели управления на «Значки», а затем откройте пункт «Программы и компоненты».
- В меню слева нажмите «Включение и отключение компонентов Windows».
- В списке компонентов найдите «Песочница Windows» и включите его.
- Нажмите Ок, дождитесь завершения установки и перезагрузите компьютер.
- На этом Windows Sandbox установлен и готов к работе: соответствующий пункт появится в меню «Пуск».
- При запуске песочницы запускается чистая виртуальная машина Windows 10 с доступом к сети и возможностью безопасно запускать практически любые программы внутри (доступа к вашим программам и файлам по умолчанию нет).
В случае если пункт «Песочница Windows» неактивен, а при наведении на него указателя мыши вы видите сообщение «Не удается установить Песочницу Windows: у процессора нет требуемых возможностей виртуализации», это может говорить о том, что в БИОС/UEFI отключена виртуализация или ваш компьютер оснащен недорогим процессором без поддержки виртуализации.
Для включения виртуализации в БИОС, при наличии функции, найдите пункт VT-x (Intel Virtualization Technology) или AMD-v в параметрах (обычно в Advanced Configuration) и включите его (установите в Enabled), затем сохраните сделанные изменения и перезагрузите компьютер.
Настройки Windows Sandbox
После запуска Песочница Windows — это чистая система, без доступа к вашим файлам в основной системе (что может быть нужно), зато с доступом к сети (что представляет потенциальную опасность). При необходимости, вы можете настроить поведение Windows Sandbox с помощью специальных файлов конфигурации, представляющих собой обычный текстовый файл XML с расширением .wsb. Таких файлов может быть несколько: в зависимости от того, с какими параметрами требуется запустить песочницу, запускаете нужный файл. Обновление: появилась утилита для автоматического создания файлов конфигурации, подробно: Настройка Песочницы Windows 10 в Sandbox Configuration Manager (Sandbox Editor).
Содержимое файла должно начинаться с <Configuration> и заканчивать </Configuration>, а среди доступных параметров, которые указываются внутри этих тегов есть следующие.
Отключение доступа к сети:
<Networking>Disable</Networking>
Отключение доступа к виртуальному графическому адаптеру (изображение не исчезнет, но исчезнут функции ускорения графики):
<VGpu>Disable</VGpu>
Проброс папок с основной системы в песочницу Windows (параметр ReadOnly задает доступ только для чтения, при указании False возможна будет и запись):
<MappedFolders> <MappedFolder> <HostFolder>Путь_к_папке_в_системе</HostFolder> <ReadOnly>True</ReadOnly> </MappedFolder> </MappedFolders>
Подключенные папки будут отображаться на рабочем столе (также возможен доступ по пути C:UsersWDAGUtilityAccountDesktopИмя_папки внутри песочницы).
Запуск команды при открытии песочницы:
<LogonCommand> <Command>какая_либо_команда</Command> </LogonCommand>
Все эти параметры можно компоновать в рамках одного файла конфигурации .wsb, который можно создать с помощью любого текстового редактора, даже встроенного «Блокнота» (при его использовании в диалоге сохранения в поле «Тип файла» выберите «Все файлы» и при сохранении укажите расширение .wsb). На скриншоте ниже — пример такого файла конфигурации.
В этом файле отключается доступ к сети и GPU, подключаются две папки с основной машины и при входе запускается Проводник.
Видео по установке и настройке Песочницы
Дополнительная информация
Дополнительные нюансы, которые могут быть полезны:
- Между основной системой и песочницей Windows работает буфер обмена, с помощью которого вы можете легко «передать» файлы в Sandbox без создания wsb файлов конфигурации.
- Каждый раз при закрытии песочницы всё её содержимое очищается. При необходимости сохранять результаты работы, используйте общие папки.
- Как уже было отмечено выше, невозможность включить песочницу Windows (неактивна в компонентах) связана с отключенной виртуализацией или с отсутствием её поддержки процессором.
- Ошибка 0x80070002 «Не удается найти указанный файл» при запуске песочницы может говорить о разных проблемах. В первую очередь, на финальном релизе с этим столкнулись владельцы ОС на языке, отличном от английского и Майкрософт обещает это исправить. Обновление: ошибка исправлена в обновлении KB4512941. Самостоятельное исправление (уже не актуально): установить английскую ОС, а уже затем на нее русский языковой пакет.
Как часто вам приходится выполнять чистую загрузку Windows, чтобы решить нужную задачу? Или может вам частенько приходится скачивать и устанавливать сомнительные приложения из Интернета на свой страх и риск? Если на один из вопросов у вас положительный ответ, то в компании Microsoft предлагают отличное решение.
Windows Sandbox или Песочница – это изолированное окружение, в котором, абсолютно безопасно для основной системы, можно запустить для проверки любое приложение. Все, что вы установите в песочнице, там и останется, и никак не повлияет на хостовый компьютер. После ее закрытия, все файлы удаляются, а при новом запуске перед вами снова чистая система, как будто вы только что установили Windows.
Например, у вас есть установщик программы, но вы в нем не уверены, и после установки в песочнице все-таки обнаруживается вирус. Основной компьютер он не затронет, ну а вы теперь точно знаете, что устанавливать данную утилиту опасно для системы.
Если говорить про основные свойства песочницы Windows, они следующие:
- Не нужно дополнительно устанавливать никакие утилиты. Если у вас Windows Профессиональная (Pro) или Корпоративная (Enterprise) версии 1903 или новее, то все, необходимое для активации данной функции, в ней есть.
- Небольшой объем образа, до 100 МБ.
- После каждого запуска перед вами будет чистая система.
- Изменения, сделанные в приложении, не влияют на хостовый ПК и удаляются сразу после выхода из песочницы.
- Не нужно дополнительно устанавливать ОС. Для работы приложение использует ядро операционной системы, которая установлена на хостовом ПК. Кстати, через песочницу нет возможности изменять системные файлы.
Требования к системе
Поскольку встроенная песочница в Windows 10 появилась относительно недавно, следует упомянуть основные характеристики, которыми должна обладать ваша ОС, для ее использования:
- Установленная Windows 10 Enterprise (Корпоративная) или Pro (Профессиональная). Версия должна быть 1903 или новее.
- Архитектура процессора AMD64/EM64T.
- Минимум 4 ГБ оперативной памяти.
- Свободное место на жестком диске (лучше если это SSD) не меньше 1 ГБ.
- Процессор должен быть минимум 2-х ядерный.
- Включенная в BIOS / UEFI виртуализация.
Основные причины, из-за которых не работает песочница на Windows 10 – это установленная Домашняя Windows или процессор может не поддерживать виртуализацию (встречается в старых или недорогих ПК).
Еще некоторые пользователи могут столкнуться с кодом ошибки 0x80070002. Чтобы ее исправить, нужно скачать с центра обновления Windows и установить обновление KB4512941.
Как установить Windows Sandbox
Итак, с теорией разобрались, перейдем к практике. Для того чтобы появилась песочница в Windows 10 нужно активировать одноименный компонент.
Сначала нажмите кнопку поиска на панели задач и в строку введите «панель управления». Кликните по найденному приложению.
Дальше в режиме просмотра «Крупные значки» перейдите в раздел «Программы и компоненты».
Нам нужна кнопка «Включение или отключение компонентов…», которая находится слева.
После этого откроется вот такое окно. В нем найдите нужный компонент. Вы можете столкнуться с ситуацией, которая показана на картинке, и теперь нужно решить проблему, как включить песочницу в Windows 10, если данный компонент неактивный.
Наведите курсор на подсказку. Если там будет написано, «во встроенном ПО отключена поддержка виртуализации» – это значит, что нужно зайти в БИОС и включить виртуализацию. Если в подсказке будет сказано: «у процессора нет требуемых возможностей виртуализации» – это значит, что процессор данную функцию не поддерживает.
Если вы используете виртуальную машину, то на ней нужно включить вложенную виртуализацию. Для этого запустите PowerShell и воспользуйтесь командой:
Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true
После активации виртуализации в БИОС, компонент «Песочница Windows» станет активный. Поставьте птичку напротив него и жмите «ОК».
Теперь нужно перезагрузить компьютер. Если вы готовы, жмите «Перезагрузить сейчас». Если у вас есть запущенные приложения или браузер, выберите «Не перезагружать», закройте все запущенные приложения и выполните перезагрузку сами.
Чтобы запустить песочницу на Windows 10, нужно найти ее файл в меню Пуск. Кликните по кнопке «Пуск» и найдите в меню пункт «Windows Sandbox». Двойным кликом мышки запустите приложение.
На рабочем столе откроется окно «Песочница Windows». Оно будет иметь такой же вид, какой был у системы сразу после установки Windows. Можете спокойно работать в нем, не боясь затронуть хостовый компьютер. Например, можно скопировать файл с рабочего стола и вставить его в песочницу, или просто мышкой перетащить его.
Когда соберетесь закрывать окно песочницы, появится вот такое сообщение. В нем вас проинформируют, что все файлы, будут удалены. Жмите «ОК», чтобы завершить работу с приложением.
Если вы создали важный документ и не хотите его потерять, перенесите его в папку основного компьютера, доступ к которой будет у песочницы. К каким папкам основного компьютера у песочницы будет доступ, вы указываете в файле конфигурации. О том, как его создать, рассказываю дальше.
Создание файлов конфигурации для песочницы
Не всем может подойти чистая система, которая будет в запущенна песочнице. Например, вы хотите, чтобы у вас всегда был доступ к определенным папкам вашего ПК, или нужно автоматически выполнить запуск какого-нибудь приложения. Помочь в этом могут файлы конфигурации. Они создаются с помощью специальной программы Sandbox Configuration Manager и имеют расширение *.wsb.
Скачать программу можно по ссылке: https://gallery.technet.microsoft.com/Windows-Sandbox-Configurati-f2c863dc. Переходите по ней и в поле «Загрузить» нажимайте на кнопку.
Затем читайте «Условия использования» и кликайте «Я согласен».
Открывайте на компьютере папку «Загрузки» и ищите в ней скачанный архив. Называется он «Sandbox_EXE». Кликайте по нему правой кнопкой мыши и выбирайте «Извлечь все…».
С помощью кнопки «Обзор» выберите папку на ПК, где будут сохранены извлеченные файлы. Потом нажмите «Извлечь».
Из извлеченных папок выберите «EXE» и откройте ее.
Здесь будет два исполняемых файла для приложения Windows Sandbox Editor. Выбирайте любой, они отличаются только интерфейсом. Я выбрала первый.
Если после запуска приложения появится подобное окно от Защитника Windows, нажмите в нем кнопку «Подробнее» (1) и кликните по кнопке «Выполнить в любом случае» (2).
В приложении Sandbox Configuration Manager будет 4 вкладки. Давайте подробнее разберем каждую.
Первая вкладка «Basic infos» позволит указать имя файла конфигурации (1) и папку, где он будет сохранен (2). Следующие два пункта – это статус сети (3) и виртуальный графический ускоритель (4). Если напротив этих пунктов указано «Enable» – значит они включены, если «Disable» – отключены. Немного ниже будет строка «Run Sandbox after change» (5) – если маркер активный, песочница будет запущена сразу после сохранения файла конфигурации. Если маркер неактивный, то просто будет сохранен *.wsb файлик и запустить вы его сможете, когда захотите сами.
Вторая вкладка «Mapped Folders». Здесь указываются папки вашего ПК, которыми можно будет пользоваться в песочнице. Если хотите, чтобы была возможность сохранять в них файлы, удалять, редактировать, то поставьте маркер в поле «Not read only» (1). Если маркер оставить неактивным, то папки будут доступны только для чтения. Чтобы указать папку, жмите «Browse folder» (2).
После этого путь к ней будет прописан в основном окне (3). Если во втором столбце написано «false» (4), то содержимое папки можно будет изменять, если «true» – только просматривать. Кнопкой в виде маркера (5) можно изменить этот параметр. Удалить папку из списка можно с помощью корзины (6).
На третьей вкладке «Command» можно указать файл (2) с одним из четырех доступных расширений (1). Выбранный файл запустится сразу после открытия песочницы.
На последней вкладке «Overview» будет представлен код со всеми изменениями, которые вы сделали. Для сохранения файла конфигурации жмите «Create Sandbox».
Данная программа может изменить ранее созданные файлы конфигурации. Нажимайте «Load Existing Sandbox» (1) и перед вами появится вот такое окно (2). В нем находите файл с расширением *.wsb (3), выделяйте его и жмите «Открыть» (4). Затем изменяйте параметры и сохраняйте.
В примере я создала файл конфигурации с названием «first». После двойного клика по нему произойдет запуск песочницы Windows с заданными параметрами. Например, у меня она уже не пустая, а с доступом к папке «комп-профи».
Как пользоваться песочницей
Ну а теперь ответ на самый распространенный вопрос: как пользоваться песочницей Windows 10 и запускать в ней программы.
Если вы пользуетесь чистой песочницей, то можно просто мышкой перетащить нужный файл, например, это будет установщик утилиты, с рабочего стола ПК на рабочий стол песочницы.
Второй вариант – открытие песочницы через запуск файла конфигурации. В файле вы указываете папки вашего компьютера, к которым разрешаете доступ. Соответственно, в этих папках должны находиться те файлы, которые нужно будет открыть или запустить в песочнице.
Посмотрите на скриншот ниже. Это запущенная через файл конфигурации песочница «first». У нее есть доступ к папке «комп-профи», в которой находится установщик программы, которую я хочу проверить на вирусы.
Чтобы запустить файл в песочнице Windows нужно кликнуть по нему два раза мышкой, как обычно.
У меня он был установочный, поэтому прохожу все шаги и устанавливаю утилиту.
Моя программа для чтения установлена. Можно запустить и попользоваться ей. Убедившись, что она не принесла никакого вреда и ничего лишнее не установила, можно ставить ее на хостовый компьютер.
Если же начнутся проблемы и утилита будет заражена вирусом, просто закройте песочницу – при этом компьютер никак не пострадает от вируса. И еще дополнение – закрытие песочницы полностью очищает ее. Так что при последующем ее запуске, той читалки, которую я установила, уже не будет.
Коротко расскажу про запуск программ в песочнице Windows, без которых многие не могут. Например, это MS Word. Скажем, у вас в нем написано руководство по установке утилиты. Здесь два варианта – или каждый раз устанавливать Word, или всю нужную информацию переносить в блокнот. Дальше архивы – очень часто можно скачать программу в *.rar архиве. Чтоб не устанавливать архиватор в песочницу, лучше распаковать архив на хостовом ПК.
Если вы используете обновленную систему Windows 10 Enterprise или Pro, то песочница там точно будет и ее можно будет включить в компонентах. Основные причины, из-за которых не запускается песочница – это несоответствие системы указанным требованиям, слабый ПК, отключенная в БИОС виртуализация. Используйте все ее преимущества и тогда вам не придется ставить Windows 10 на виртуальную машину, а ваш ПК будет в полном порядке.
Смотрите видео по теме:
Загрузка…
Информационной безопасности много не бывает, особенно в нынешних реалиях, когда киберпреступники стремятся быть на шаг впереди новейших средств обнаружения зловредного ПО и используют всё более изощрённые методы хакерских атак. В таких условиях одного лишь установленного на ПК антивируса явно недостаточно. Необходим комплексный подход к обеспечению противодействия современным цифровым угрозам, реализовать который можно с помощью так называемых программ-песочниц (от англ. Sandbox).
Ключевое преимущество Sandbox-приложений — высокий уровень надёжности и безопасности, а также простота использования. Они позволяют буквально в два-три клика разворачивать изолированные среды, в которых можно без опаски запускать любые программы без риска навредить установленной на компьютере операционной системе или повлиять на стабильность её работы. Благодаря этому песочницы можно использовать для запуска недоверенного или потенциально опасного софта, просмотра документов и файлов сомнительного происхождения, а также безопасного веб-сёрфинга в интернете, в том числе для проверки подозрительных электронных писем, ссылок и сетевых ресурсов.
Способов применения технологиям Sandbox можно найти множество. Самое главное — подобрать подходящий инструментарий, определиться с выбором которого поможет наша подборка песочниц для широко востребованной во всём мире платформы Windows.
Источник изображения: Sentavio / freepik.com
⇡# Windows Sandbox
Разработчик: Microsoft.
Сайт продукта: microsoft.com/windows.
Стоимость: бесплатно (включена в состав ОС).
Начнём обзор с самого простого и доступного варианта — встроенной песочницы Windows 10/11, поставляемой в комплекте с операционной системой редакций Pro и Enterprise.
В основу Windows Sandbox положены гипервизор Hyper-V и технологии контейнеризации. Как следствие, для запуска песочницы необходим ПК на базе процессора с поддержкой аппаратной виртуализации и объёмом оперативной памяти не менее 4 Гбайт. По умолчанию функция Sandbox отключена в системе. Для её активации необходимо через панель управления открыть меню «Компоненты Windows», выставить галочку напротив пункта «Песочница Windows», дождаться установки необходимых системных файлов и перезагрузить ОС.
Windows Sandbox представляет собой виртуальную машину с облегчённой копией ОС, все вносимые изменения в которую автоматически откатываются при закрытии изолированной среды, и при каждом запуске песочница запускается «с нуля» в чистом виде. Такой подход освобождает от необходимости удалять установленные в виртуальном окружении программы и здорово экономит время.
В отличие от классической виртуальной машины при использовании песочницы нет необходимости заморачиваться самостоятельной установкой, настройкой и лицензированием отдельной копии Windows. Второй важный момент — в Sandbox используется динамически создаваемый образ ОС, который формируется на основе файлов и DLL-библиотек установленной на компьютере системы. Благодаря этому виртуальная машина с песочницей занимает меньше места на диске и потребляет гораздо меньше ресурсов.
Запускать Windows Sandbox можно только в одном экземпляре. Для управления настройками песочницы и защищённой среды (включение/выключение виртуализации графического процессора, поддержки сети, общих папок с хост-системой и буфера обмена данными, запуска скриптов) допускается использование конфигурационных файлов с расширением .wsb. Об особенностях работы с ними можно узнать на этой странице сайта Microsoft.
⇡#Microsoft Defender Application Guard
Разработчик: Microsoft.
Сайт продукта: microsoft.com/windows.
Стоимость: бесплатно (включена в состав ОС).
Если песочницу планируется использовать только для защищённого веб-сёрфинга, то вместо установки Windows Sandbox можно ограничиться модулем Application Guard, функционирующим в связке с антивирусом Microsoft Defender.
Чтобы воспользоваться Application Guard, необходимо в окне «Компоненты Windows» активировать соответствующий пункт меню, дождаться установки системных файлов и перезапустить ОС.
После перезагрузки компьютера в поставляемом с Windows браузере Edge появится возможность запускать интернет-обозреватель в изолированной среде, использующей технологии виртуализации Hyper-V. При включённом режиме Application Guard можно смело открывать любые сайты и не опасаться, что размещённый на них вредоносный код сможет выйти за пределы песочницы и нанести вред системе.
О том, что браузер действительно запущен в изолированном окружении, свидетельствует значок Application Guard на панели инструментов Microsoft Edge.
Помимо Edge песочницу можно использовать в Google Chrome и Mozilla Firefox — для этого необходимо установить в браузер расширение Application Guard, доступное для скачивания в магазине Chrome Web Store и на сайте Firefox Browser Add-ons.
Application Guard также поддерживает интеграцию с пакетом Microsoft 365 и позволяет открывать в безопасной среде офисные документы. Функция крайне полезная, но, увы, доступная только в решениях софтверного гиганта для корпоративного сегмента рынка. По этой причине мы оставляем её за рамками нашего обзора.
⇡#Sandboxie
Разработчик: Дэвид Ксанатос (David Xanatos).
Сайт продукта: sandboxie-plus.com.
Стоимость: бесплатно с лимитированным набором функций (для снятия ограничений предлагается приобрести сертификат стоимостью от $20).
Ещё одно доступное широкой аудитории решение для работы с приложениями в изолированной среде. Отличительными особенностями Sandboxie являются открытый исходный код, поддержка Windows 7/8.1/10/11 и неограниченного количества песочниц, а также огромное множество всевозможных настроек, позволяющих гибко конфигурировать параметры защищённых сред. Наличие на компьютере средств аппаратной виртуализации не требуется, что является несомненным плюсом программы. Кроме того, Sandboxie можно установить как портативное приложение и запускать с флешки на любом компьютере.
С помощью Sandboxie можно создавать списки автоматически запускаемых в песочнице исполняемых файлов, настраивать политики доступа приложений к системным компонентам Windows и ресурсам компьютера, конфигурировать правила встроенного брандмауэра для каждого процесса и осуществлять скрупулёзный мониторинг всех действий программ и вносимых ими изменений. Для каждой из песочниц Sandboxie позволяет закреплять индивидуальный набор настроек. Поддерживается интеграция с рабочим окружением Windows и быстрый запуск приложений в песочнице через контекстное меню проводника. Для наглядности окна «изолированных» программ обводятся жёлтой рамкой.
В отличие от прочих представленных на рынке приложений-песочниц Sandboxie требует грамотного подхода к конфигурированию изолированных сред, и неправильные настройки последних могут серьёзно ослабить защиту от вредоносного софта. По этой причине мы рекомендуем данный инструмент тем, кто хорошо разбирается в IT и досконально знает все тонкости работы операционных систем Windows. Допущенные ошибки могут обойтись очень дорого.
⇡#SHADE Sandbox
Разработчик: SHADE Sandbox LLC.
Сайт продукта: shadesandbox.com.
Стоимость: от $30 (доступна 30-дневная пробная версия продукта).
Песочница, к созданию которой приложил руку наш соотечественник, выпускник государственного университета «Дубна», основатель компании SHADE Sandbox LLC Евгений Балабанов.
SHADE Sandbox имеет аскетичный интерфейс, а само управление программой построено по принципу Drag-and-drop — для включения того или иного приложения в защищённую среду достаточно перенести его ярлык в стартовое окно песочницы. Настроек как таковых практически нет: доступны только средства просмотра виртуальных директорий, выступающих в качестве связующего звена между хостовой ОС и изолированными средами, а также инструменты для быстрой очистки песочниц от файлового мусора. Поддерживается одновременная работа с несколькими защищёнными окружениями и интеграция с проводником Windows. Наличие аппаратной виртуализации для работы с SHADE Sandbox не обязательно, что допускает возможность использования программы на старых ПК.
Comodo Free Antivirus
Разработчик: Comodo Security Solutions.
Сайт продукта: antivirus.comodo.com.
Стоимость: бесплатно.
Антивирусное решение, важная составляющая которого (применительно к нашему обзору) — встроенная песочница. Обычно подобного рода инструменты предлагаются только в коммерческих продуктах, здесь же американская компания-разработчик Comodo Security Solutions сделала приятное исключение.
Comodo Free Antivirus поддерживает одновременную работу со множеством песочниц и позволяет управлять уровнем обеспечиваемой ими защиты. В частности, для изолированных сред можно открывать доступ к определённым файлам и папкам на компьютере, а также к буферу обмена, указанным ключам и значениям реестра Windows. Также допускается настройка автоматического запуска в песочнице приложений, требующих повышенных привилегий в системе либо имеющих низкий рейтинг согласно оценочной шкале антивируса и используемых им облачных аналитических сервисов. Предусмотрена парольная защита песочниц.
Для понимания «внутренней кухни» изолированных сред и просмотра функционирующих в них процессов имеется встроенный диспетчер задач. С его помощью можно анализировать поведение программ, просматривать рейтинг запускаемых ими процессов, блокировать выполнение отдельных исполняемых файлов и решать прочие административные задачи.
В целом Comodo Free Antivirus производит впечатление качественно сделанного продукта. Он бесплатен и при этом не раздражает пользователя навязчивыми рекламными баннерами как иные распространяемые на безвозмездной основе антивирусы. Единственное замечание: в процессе инсталляции программа норовит установить фирменный браузер Comodo Dragon Web Browser — тут необходимо быть внимательным.
Avast Premium Security
Разработчик: Avast Software.
Сайт продукта: avast.com/premium-security.
Стоимость: от $40/год (доступна 30-дневная пробная версия продукта).
Коммерческий антивирус со множеством защитных функций, в числе которых также фигурирует возможность создания безопасных сред. При этом устанавливать весь комплект входящих в Avast Premium Security модулей нет необходимости, можно ограничиться только песочницей — инсталлятор программы допускает такую возможность.
Набор предлагаемых песочницей Avast Premium Security функций довольно скромный: можно блокировать доступ «виртуализованных» приложений в интернет, разрешать перенос данных за пределы изолированного окружения и составлять список автоматически запускаемых в защищённой среде программ.
Для мониторинга запущенных в песочнице процессов предусмотрен простейший диспетчер задач.
Avast Software почти четверть века работает в сфере информационной безопасности, имеет хорошую репутацию, а поэтому в надёжности и практичности программных решений чешского разработчика можно не сомневаться. К сожалению, в свете последних геополитических событий компания приостановила продажу своих продуктов в России и Белоруссии, поэтому приобрести антивирус теперь можно только окольными путями. Скачивание дистрибутивов тоже заблокировано — для обхода этого ограничения необходимо использовать VPN.
⇡#360 Total Security
Разработчик: Beijing Qihu Keji.
Сайт продукта: 360totalsecurity.com.
Стоимость: бесплатно.
Ещё один антивирус, поддерживающий работу с Sandbox-окружениями. Разработан в Китае и в бесплатной версии обвешан баннерами как новогодняя ёлка, — типичное явление едва ли не для всех программных продуктов из Поднебесной империи.
В отличие от упомянутых выше Comodo Free Antivirus и Avast Premium Security программный комплекс 360 Total Security требует поддержки виртуализации на аппаратном уровне — без неё песочница работать не будет. Этот важный момент почему-то не отмечен в прилагаемой к программе документации, но на него следует обращать внимание.
По набору функций песочница 360 Total Security во многом повторяет конкурирующие решения. Можно блокировать доступ в Сеть для изолированных приложений и управлять настройками хранения создаваемых в песочнице файлов. Доступен выбор программ для автоматического запуска в защищённой среде и простейший менеджер задач.
Помимо песочницы и собственно антивируса 360 Total Security несёт в себе ворох программных компонентов сомнительной ценности вроде анализатора дискового накопителя и оптимизатора ОС. Отказаться от этого балласта не представляется возможным, а зазря забивать диск компьютера ненужным софтом — довольно сомнительная затея, на наш взгляд. Видимо, китайские разработчики думают иначе.
⇡#Заключение
Ассортимент Sandbox-приложений для платформы Windows и индивидуальных пользователей нельзя назвать обширным — приходится выбирать из того, что есть. Из приведённых в обзоре песочниц смело можем рекомендовать Windows Sandbox, Microsoft Defender Application Guard и Comodo Free Antivirus (если не смущает «довесок» в виде антивируса). Avast Premium Security тоже неплох, но он платный, и есть трудности с его приобретением. Хорош во всех отношениях Sandboxie, но это продукт профессионального уровня, который может быть интересен скорее IT-гикам, нежели обычным пользователям, привыкшим, чтобы всё работало «из коробки».
Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Рекомендуем: Как включить Песочницу Windows (и что это такое).
Песочница Windows — это изолированная временная среда рабочего стола, в которой вы можете запускать ненадежное программное обеспечение, не опасаясь вредоносного воздействия на ваш компьютер. Windows Sandbox теперь поддерживает простые файлы конфигурации (расширение .wsb), которые обеспечивают минимальную поддержку сценариев. Вы можете использовать эту функцию в последней сборке Windows с номером 18342.
Любое программное обеспечение, установленное в «песочнице» Windows, остается только в «песочнице» и не может повлиять на ваше устройство. Как только вы закроете Песочницу Windows, все установленное программное обеспечение со всеми его файлами и состоянием удаляется навсегда.
Песочница Windows обладает следующими свойствами:
- Часть Windows — все необходимое для этой функции по умолчанию присутствует в Windows 10 Pro и Enterprise. Не нужно скачивать VHD!
- Чистота — каждый раз, когда запускается Песочницу Windows, она так же чиста, как и новая установка Windows 10.
- Одноразовая — на устройстве ничего не сохраняется; все удаляется после закрытия приложения
- Безопасная — использует аппаратную виртуализацию для изоляции ядра, которая использует гипервизор Microsoft для запуска отдельного ядра, которое изолирует Windows Sandbox от хоста
- Эффективная — использует встроенный планировщик ядра, интеллектуальное управление памятью и виртуальный графический процессор
Файлы конфигурации Песочницы Windows.
Чтобы настроить Песочницу Windows или автоматически запускать приложения и сценарии при старте, необходимо создать файл конфигурации. Для этого вы можете использовать Блокнот или любое другое приложение текстового редактора.
Файлы конфигурации песочницы имеют формат XML и связаны с песочницей файлом с расширением .wsb. Каждый файл конфигурации, который вы создаете для Windows Sandbox, должен начинаться со строки <Configuration> и заканчиваться строкой </Configuration>. Весь другой код, который вы собираетесь добавить, должен быть помещен между этими строками кода. Создав файл конфигурации и добавив в него нужный код, вы должны сохранить его, используя расширение файла .wsb. Затем вы можете дважды кликнуть созданный файл .wsb, чтобы запустить свою персональную песочницу Windows.
Файл конфигурации позволяет пользователю контролировать следующие аспекты Песочницы Windows:
- vGPU (виртуализированный графический процессор)
- Включите или отключите виртуализированный графический процессор. Если vGPU отключен, Sandbox будет использовать WARP (программный растеризатор).
- Сеть
- Включить или отключить сетевой доступ к песочнице.
- Общие папки
- Делитесь папками с хоста (ваш ПК) с разрешениями на чтение или запись. Обратите внимание, что раскрытие директорий хоста может позволить вредоносному программному обеспечению повлиять на вашу систему или украсть данные.
- Запуск скрипта
- Автоматическое действие после входа в песочницу.
Поддерживаемые параметры конфигурации:
Как включить или отключить виртуальный графический процессор в песочнице Windows.
VGpu Включает или отключает совместное использование GPU.
Поддерживаемые значения:
Disable – отключить поддержку vGPU в песочнице. Если это значение установлено, будет использовать программный рендеринг, который может быть медленнее, чем ваш графический процессор.
Default — это значение по умолчанию для поддержки vGPU; это означает, что vGPU включен.
Windows Sandbox также позволяет отключить механизм рендеринга виртуального графического оборудования. Другими словами, песочница разделяет вашу видеокарту с Windows 10 по умолчанию. Однако вы можете отключить эту функцию и заставить ее использовать программный рендеринг. Несмотря на то, что она теперь работает медленнее, в некоторых ситуациях это может быть полезно.
Чтобы отключить поддержку VGpu, в файле .wsb добавьте следующий код:
<VGpu>Disable</VGpu>
Включить:
VGpu>Default</VGpu>
Как включить или отключить сеть в Песочнице Windows.
Включает или отключает сеть в песочнице. Отключение доступа к сети может использоваться, чтобы уменьшить вероятность атаки для песочницы.
<Networking>value</Networking>
Поддерживаемые значения:
Disable – отключить сеть в песочнице.
Default — это значение по умолчанию для поддержки сети. Позволяет создавать сети путем создания виртуального коммутатора на вашем хосте и подключать к нему изолированную программную среду через виртуальный сетевой адаптер.
Примечание: Включение сетевых подключений может привести к тому, что ненадежные приложения окажутся в вашей внутренней сети.
MappedFolders
Оборачивает список объектов MappedFolder.
<MappedFolders> list of MappedFolder objects </MappedFolders>
Примечание: Файлы и папки, сопоставленные с хостом, могут быть скомпрометированы приложениями в изолированной программной среде или потенциально повлиять на хост.
Как поделиться папками с Песочницей Windows.
Задает одну папку на хост-компьютере, которая будет использоваться совместно на рабочем столе контейнера. Приложения в Песочнице запускаются под учетной записью пользователя «WDAGUtilityAccount». Следовательно, все папки отображаются по следующему пути: C: Users WDAGUtilityAccount Desktop.
Windows Sandbox может отображать папки хоста. Другими словами, вы можете сделать так, чтобы ваша песочница Windows «видела» папки, на вашем ПК с Windows 10. Например, «C:Test» будет отображаться как «C:usersWDAGUtilityAccountDesktopTest». Для этого в файл .wsb, созданный с помощью Блокнота, добавьте следующий код:
<MappedFolder>
<HostFolder> путь к папке хоста </ HostFolder>
<ReadOnly> значение </ ReadOnly>
</MappedFolder>
HostFolder: указывает папку на хост-машине для совместного использования в песочнице. Обратите внимание, что папка должна уже существовать, контейнер не запустится, если папка не найдена.
ReadOnly: при значении true обеспечивает доступ только для чтения к общей папке из контейнера. Поддерживаемые значения: true / false.
Примечание: Вы можете добавить столько папок для совместного использования, сколько хотите: просто убедитесь, что их пути указаны между тегами <HostFolder> </ HostFolder>. Кроме того, для каждой папки, которую вы добавляете в список, вы можете указать, хотите ли вы, чтобы песочница Windows имела к ней доступ только для чтения или для записи.
Как автоматически запустить приложение или скрипт в Windows Sandbox.
Песочница, также позволяет открывать приложение (исполняемый файл) или скрипт сразу после запуска. Чтобы сделать это, в файле конфигурации .wsb , вы должны добавить этот код:
<LogonCommand> <Command> команда для вызова </Command> </LogonCommand>
Команда: Командой может быть путь к любому исполняемому файлу или скрипту, доступному внутри песочницы Windows. Это означает, что вы можете, например, автоматически открывать Проводник, Блокнот или другие системные приложения.
Примечание: Хотя очень простые команды будут работать (запуск исполняемого файла или скрипта), более сложные сценарии, включающие несколько шагов, должны быть помещены в файл скрипта. Этот файл сценария может быть сопоставлен с контейнером через общую папку, а затем выполнен с помощью директивы LogonCommand.
Создать файл конфигурации
Создайте новый текстовый файл с расширением .wsb и скопируйте в него один из примеров.
Двойным кликом по созданному файлу * .wsb вы откроете его в песочнице Windows.
Пример файла конфигурации — 1.
Следующий файл конфигурации можно использовать для простого тестирования загруженных файлов внутри песочницы. Для этого сценарий отключает работу сети и vGPU а также в контейнере ограничивает общую папку «Загрузки» доступом только для чтения. Для удобства команда входа в систему открывает папку загрузок внутри контейнера при запуске.
Downloads.wsb
<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:UsersPublicDownloads</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>explorer.exe C:usersWDAGUtilityAccountDesktopDownloads</Command>
</LogonCommand>
</Configuration>
Пример файла конфигурации — 2.
Следующий файл конфигурации устанавливает код Visual Studio в контейнер, что требует немного более сложной настройки LogonCommand.
Две папки отображаются в контейнере; первый (SandboxScripts) содержит VSCodeInstall.cmd, который установит и запустит VSCode. Предполагается, что вторая папка (CodingProjects) содержит файлы проекта, которые разработчик хочет изменить с помощью VSCode.
С помощью сценария установщика VSCode, уже сопоставленного с контейнером, LogonCommand может ссылаться на него.
VSCodeInstall.cmd
REM Download VSCode
curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:usersWDAGUtilityAccountDesktopvscode.exe
REM Install and run VSCode
C:usersWDAGUtilityAccountDesktopvscode.exe /verysilent /suppressmsgboxes
VSCode.wsb
<Configuration>
<MappedFolders>
<MappedFolder>
<HostFolder>C:SandboxScripts</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
<MappedFolder>
<HostFolder>C:CodingProjects</HostFolder>
<ReadOnly>false</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:userswdagutilityaccountdesktopSandboxScriptsVSCodeInstall.cmd</Command>
</LogonCommand>
</Configuration>
Теперь вам просто нужно дважды кликнуть Text.wsb и запустить Windows Sandbox. Преимущество этого состоит в том, что вы можете создать несколько конфигураций для того, как песочница должна быть запущена. На самом деле довольно практично. Можно только надеяться, что Microsoft затем со временем расширит возможности файла конфигурации.
Рекомендуем: Как установить Песочницу (Sandbox) в Windows 10 Home.
Многие современные антивирусы имеют так называемую песочницу. Это некая защищенная среда, в которой можно запускать подозрительные файлы, не боясь подцепить вирус. В Windows 10 также есть песочница (Sandbox) и ее можно использовать для запуска программ или файлов, вызывающих подозрение.
Зачем нужна песочница
Например, вы получили подозрительное сообщение по электронной почте, содержащее вложенные файлы. Хоть я и рекомендую не открывать сообщения от неизвестных адресатов, но все же бывают ситуации, когда полученная почта может содержать полезную информацию. Чтобы не рисковать можно запустить приложенные к письму файлы в защищенной среде — в Sandbox.
Или другая ситуация — вы скачали какую-то заинтересовавшую вас программу, но не уверены в том, что она чиста от вредоносного кода. Решением в данном случае может быть запуск программы на виртуальной машине. В итоге любые происки вирусов коснуться только виртуального компьютера, который можно будет легко удалить.
Однако, во-первых, виртуальный компьютер требует определенных ресурсов и, во-вторых, сам процесс запуска скачанной программы на «виртуалке» выглядит довольно громоздким, ведь нужно сначала запустить виртуальную машину, затем скопировать программу на нее, установить и запустить. И это с учетом того, что на вашем компьютере уже должна быть установлена программа виртуализации, в которой создана виртуальная машина и установлена операционная система. Ну и держать такой виртуальный компьютер исключительно для запуска подозрительных файлов нецелесообразно, так как он будет занимать несколько гигабайт пространства диска.
Намного проще и быстрее в обеих ситуациях воспользоваться песочницей операционной системы.
Песочница — это временная изолированная среда, позволяющая запускать потенциально небезопасные файлы или программы.
Однако она доступна не всем.
Дело в том, что эта функция появилась в сборке 18305 Windows 10, но только в редакциях Pro и Enterprise (то есть Профессиональной и Корпоративной), однако ее можно запустить и в Домашней (Home) редакции, о чем я расскажу позже.
Также есть и еще ряд системных требований, но в большинстве случаев они выполняются, так как большинство современных компьютеров им соотвутствует.
Системные требования для Windows Sandbox
Для работы песочницы Windows необходимо выполнение следующих требований:
- Редакция Pro или Enterprise.
- Архитектура x86-64 (также AMD64/Intel64/EM64T).
- Включение виртуализации в BIOS. В случае с виртуальной машиной необходимо включить встроенную виртуализацию.
- Минимум 4 ГБ ОЗУ (рекомендуется 8 ГБ ОЗУ).
- Минимум 1 ГБ свободного дискового пространства (рекомендуется SSD).
- Минимум двухядерный процессор (рекомендуется четырехядерный процессор с поддержкой технологии Hyperthreading).
Более подробно о технической стороне этой функции можно прочитать в официальном блоге Microsoft. Заметка на англицйском, но есть ее русскоязычный аналог на Хабре.
Не буду на этом останавливаться, а покажу один из способов, которым можно включить песочницу в системе.
Как включить песочницу в Windows 10
Вызываем окно программ и компонентов, например, через поисковый запрос и находим в нем песочницу.
Включаем компонент и после его установки потребуется перезагрузить компьютер.
Как работать с песочницей в Windows 10
Запустить песочницу можно через меню Пуск или поисковый запрос. Потребуются права администратора.
Через некоторое время появится окно песочницы.
Можем скопировать подозрительный файл и вставить его в песочницу через буфер обмена. Затем запускаем файл в песочнице и изучаем его содержимое.
Если речь идет о скачанной из интернета программе, то точно таким же образом перемещаем в песочницу установочный или исполняемый файл программы. Затем устанавливаем и запускаем программу и работаем с ней в обычном режиме.
После закрытия песочницы все ее содержимое будет удалено. То есть по сути, песочница — это виртуальный компьютер, содержимое которого бесследно исчезает при закрытии окна.
Как установить песочницу в Windows 10 Home
Как уже упоминалось ранее, песочница официально доступна только в Профессиональной и корпоративной редакциях Windows 10. Однако умельцы уже давно разблокировали песочницу и в Домашней редакции операционной системы. Для этого необходимо использовать скрипт, который установит все необходимые компоненты. Такой скрипт можно создать самостоятельно, скопировав код в текстовый файл и изменив его расширение на .bat, но намного проще скачать уже готовый файл.
Файл нужно будет запустить от имени администратора.
На установку компонентов потребуется некоторое время. В завершение необходимо перезагрузить компьютер.
После перезагрузки можно будет пользоваться песочницей.