Sandboxes обясни как те вече са защита на вас и как да Sandbox всяка програма
Sandboxing е важна техника за сигурност, която изолира програмите, предотвратявайки вредните или неработещи програми, които могат да повредят или да подслушват останалата част от компютъра ви. Софтуерът, който използвате, вече претърпява голяма част от кода, който пускате всеки ден.
Можете също така да създадете собствени пясъчници, за да тествате или анализирате софтуер в защитена среда, в която няма да можете да нанесете никаква вреда на останалата част от системата ви.
Как Sandboxes са от съществено значение за сигурността
Sandbox е строго контролирана среда, в която могат да се изпълняват програми. Sandboxes ограничават какво може да направи част от кода, като му придават толкова разрешения, колкото се нуждае, без да добавя допълнителни разрешения, които биха могли да се злоупотребяват.
Например уеб браузърът ви изпълнява основно уеб страници, които посещавате в пясъчника. Те са ограничени до работа в браузъра ви и достъп до ограничен набор от ресурси - те не могат да гледат уеб камерата без разрешение или да четат локалните файлове на компютъра ви. Ако посетените от вас уебсайтове не бяха изолирани и изолирани от останалата част от системата ви, посещаването на злонамерен уебсайт би било толкова лошо, колкото и инсталирането на вирус.
Други програми на компютъра също са поставени в печат. Например, Google Chrome и Internet Explorer се изпълняват и в сандъци. Тези браузъри са програми, които се изпълняват на компютъра ви, но нямат достъп до целия ви компютър. Те се изпълняват в режим с ниско разрешение. Дори ако уеб страницата намери уязвимост в сигурността и е успяла да поеме контрола над браузъра, тя ще трябва да избяга от пясъчника на браузъра, за да направи реални щети. Като стартираме уеб браузъра с по-малко разрешения, получаваме сигурност. За съжаление, Mozilla Firefox все още не работи в пясъчника.
Какво вече е подредено
Голяма част от кода, който устройствата ви изпълняват всеки ден, вече е поставен в кутия за вашата защита:
- Уеб страници: Вашият браузър по същество пресича сайтовете, които зарежда. Уеб страниците могат да изпълняват JavaScript код, но този код не може да направи нищо - ако JavaScript кодът се опита да получи достъп до локален файл на компютъра ви, заявката ще се провали.
- Plug-in съдържание на браузъра: Съдържанието, заредено от плъгини на браузъра - като Adobe Flash или Microsoft Silverlight - също се изпълнява в пясъчник. Възпроизвеждането на флаш игра на уеб страница е по-безопасно от това да се свали игра и да се стартира като стандартна програма, защото Flash изолира играта от останалата част от вашата система и ограничава възможностите й. Браузърните приставки, особено Java, са често срещана цел на атаки, които използват уязвимости в сигурността, за да избегнат тази пясъчна среда и да причинят щети.
- PDF файлове и други документи: Adobe Reader вече стартира PDF файлове в пясъчника, което им пречи да избягат от преглед на PDF файлове и да променят останалата част от компютъра. Microsoft Office има също така и пясъчен режим, за да предотврати вредните макроси да навредят на системата ви.
- Браузъри и други потенциално уязвими приложения: Уеб браузърите се изпълняват в нискоразрешен, вграден в печат режим, за да гарантират, че не могат да причинят много щети, ако са компрометирани:
- Мобилни приложения: Мобилните платформи изпълняват приложенията си в пясъчник. Приложенията за iOS, Android и Windows 8 са ограничени от многото неща, които могат да направят стандартните приложения за настолни компютри. Те трябва да декларират разрешения, ако искат да направят нещо подобно на достъп до вашето местоположение. В замяна получаваме сигурност - пясъчникът изолира приложенията един от друг, така че не могат да се намесват.
- Програми за Windows: Контролът на потребителските акаунти функционира като малко пясъчник, като по същество ограничава приложенията за десктоп на Windows да променят системните файлове, без първо да ви поиска разрешение. Имайте предвид, че това е много минимална защита - всяка програма за десктоп на Windows може да избере да седи във фонов режим и да записва всички клавиши, например. Контролът на потребителските акаунти само ограничава достъпа до системните файлове и настройките за цялата система.
Как да Sandbox Всяка програма
По принцип десктопните програми по принцип не се поставят в печат. Разбира се, има UAC - но както споменахме по-горе, това е много минимално пясъчника. Ако искате да тествате програма и да я изпълните, без да можете да се намесвате с останалата част от системата, можете да стартирате всяка програма в пясъчника.
- Виртуални машини: Програма за виртуална машина като VirtualBox или VMware създава виртуални хардуерни устройства, които използва, за да изпълнява операционна система. Другата операционна система работи в прозорец на работния плот. Цялата тази операционна система е по същество с печат, тъй като няма достъп до нищо извън виртуалната машина. Можете да инсталирате софтуер във виртуализираната операционна система и да стартирате този софтуер, както ако работи на стандартен компютър. Това ще ви позволи да инсталирате зловреден софтуер и да го анализирате, например - или просто да инсталирате програма и да видите дали тя прави нещо лошо. Програмите за виртуална машина съдържат и функции за моментна снимка, така че можете да „върнете“ вашата гост операционна система до състоянието, в което е било преди да инсталирате лошия софтуер.
- Sandboxie: Sandboxie е Windows програма, която създава пясъчници за Windows приложения. Той създава изолирани виртуални среди за програми, което им пречи да правят постоянни промени в компютъра ви. Това може да бъде полезно за тестване на софтуер. Консултирайте се с нашето въведение в Sandboxie за повече информация.
Sandboxing не е нещо, от което средният потребител трябва да се притеснява. Програмите, които използвате, работят на пясъчника във фонов режим, за да ви осигуряват сигурност. Все пак трябва да имате предвид какво е оформено и какво не - затова е по-безопасно да се зареди всеки уебсайт, отколкото да се изпълнява която и да е програма.
Обаче, ако искате да поставите в стандартна програма стандартна десктоп, която обикновено не би могла да бъде поставена в печат, можете да го направите с един от горните инструменти.