Spoločnosť Microsoft aktuálne predstavila nové zaujímavé riešenie Windows Sandbox pre jej operačný systém Windows 10, ktoré umožňuje v rámci Windows 10 jednoducho spúšťať ďalšiu izolovanú čistú kópiu Windows neovplyvňujúcu inštaláciu napríklad za účelom odskúšania softvéru alebo v prípade záujmu užívateľa spustiť napriek odporúčaniam potenciálne nedôveryhodný softvér.
Podobný účel je možné dosiahnuť pomocou virtualizácie, podporovanej okrem iného aj priamo vo Windows 10 v podobe Hyper-V. V takom prípade užívateľ musí ale manažovať vytvorenie nového virtuálneho stroja s čistou inštaláciou.
Sandbox je riešením v základe postavenom tiež na virtualizácii ale s využitím kontajnerového riešenia Windows Containers a rozličných optimalizácií znižujúcich nároky na zdroje počítača oproti behu plnohodného virtuálneho stroja s kompletnou ďalšou kópiou Windows 10.
Sandbox beží vo vlastnom virtuálnom stroji s vlastným jadrom, po spustení sa spustí vždy čistá inštalácia Windows 10. Za tým účelom ale funkčnosť nepotrebuje kompletný obraz Windows 10, používaný obraz má len 100 MB. V prípade systémových súborov, ktoré sa nemenia, totiž obraz len odkazuje na súbory z inštalácie Windows na hostiteľskom počítači.
Spustený Windows Sandbox, kliknite pre zväčšenie (screenshot: Microsoft)
Zároven Sandbox zdieľa s hostiteľským OS rovnaké dáta v operačnej pamäti v prípade systémových súborov načítaných do pamäti, namiesto zdvojenia tých istých dát. Plánovače úloh sú prepojené a riešenie má umožňovať lepší výkon pre hostiteľský počítač, keď úlohy s vysokou prioritou v hostiteľskom OS dostávajú prednosť pred Sandboxom. Podporovaná je hardvérová akcelerácia grafiky.
Aby sa pri každom spustení nebootoval operačný systém, Windows má odložený snapshot čistej inštalácie po nabootovaní a umožňuje tak spustiť Sandbox rýchlo.
Po spustení Windows Sandbox sa spustí nová čistá inštalácia s celou plochou virtuálneho stroja v okne, prenášať do nej napríklad prípadné súbory na spustenie je možné kopírovaním a vložením. Sandbox neovplyvňuje súborový systém hostiteľského Windows a po jeho ukončení sa stav Sandboxu a v ňom uskutočnené zmeny zahodia.
Kópia v Sandbox ale podľa oznámenia Microsoftu nepreberá nastavenia súkromia v hostiteľskej kópii Windows 10, okrem nastavenia diagnostických dát. Ostatné nastavenia súkromia používa so štandardnými hodnotami a užívateľ si ich prípadne musí zmeniť.
Funkčnosť je určená len pre edície Windows 10 Pro a Enterprise a zatiaľ je prítomná od testovacieho zostavenia 18305. Doplniť je ju potrebné doinštalovaním výberom v prítomných funkčnostiach Windows, Windows Features, a vyžaduje v BIOS-e zapnutú virtualizáciu a 64-bitový CPU.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Hjkkbvb
Od: Hngghdlv
|
Pridané:
20.12.2018 13:57
používaný obraz má len 100 MB ... Takže zvyšok vo Windowse sú blbosti:)
|
|
Re: Hjkkbvb
Od: _xxx
|
Pridané:
20.12.2018 14:04
používaný obraz má len 100 MB. V prípade systémových súborov, ktoré sa nemenia, totiž obraz len odkazuje na súbory z inštalácie Windows na hostiteľskom počítači.
treba docitat celu vetu fesinko. (ak to mal byt vtip, tak nevysiel)
|
|
Re: Hjkkbvb
Od reg.: ugo111
|
Pridané:
20.12.2018 14:17
Otázka, nie je možné toto riešenie zneužiť na prebratie kontroly nad celým počítačom? Pretože ak odkazujú na systémové súbory v počítači tak by teoreticky bolo možné vytvoriť úbor s názvom systémového súboru a pristupovať k systémovým súborom na disku s tým, že ak by sa dostal do systému mimo sandboxu tak by tento program nahral škodlivý kód niekde na disk a bolo by vymaľované. Neviem či je táto moja úvaha správna, ale iba z toho čo je popísané v článku tak ma napadla hneď taká možnosť.
|
|
Re: Hjkkbvb
Od: Hroch_asdf
|
Pridané:
20.12.2018 14:26
Zvycajne je problematika utoku opacna. Najprv je potrebne sa dostat von zo sandboxu, az potom modifikovat / nahradzat subory v suborovom systeme. Ked uz to dokaze mimo sandboxu, tak zvycajne nie je dovod sa do neho dostavat, ak sluzi na testovanie SW.
|
|
Re: Hjkkbvb
Od: miro j.
|
Pridané:
20.12.2018 14:42
systemove subory su read-only , a 100mb je len pre subory ktore windows potrebuje ma otvrene R/W
|
|
ultraradikalny faktizmus
Od: syntaxterrorXX. X
|
Pridané:
20.12.2018 15:16
Ze systemove subory su read-only je na zurnalovacom systeme fakt na argumentacne priekazne vysokej odbornej urovni.
|
|
Re: ultraradikalny faktizmus
Od: Hroch_asdf
|
Pridané:
20.12.2018 15:22
Read only - nie su modifikovane, a teda nekopiruju sa ani do journalu.
Navyse casto sa pouziva len logicky journal - log.
|
|
Re: ultraradikalny faktizmus
Od: syntaxterrorXX. X
|
Pridané:
20.12.2018 15:55
Mne sa nad tym preco, aby ten kvazi-sandboxing fungoval, ale bolo journalovanie uz od urovne access, zamyslat priekazne zrovna netreba.
|
|
Re: Hjkkbvb
Od: Jvvbb
|
Pridané:
20.12.2018 14:27
Yesss, chytil si sa
|
|
Re: Hjkkbvb
Od reg.: ugo111
|
Pridané:
20.12.2018 14:35
Viem, že v článku je napísané bežiaci systém neovplyvňuje súbory na fyzickom disku, ale Bill tak isto niekedy dávno povedal, že každému bude stačiť 64kb ram pamäte a čuduj sa nestačí. Takže ja to beriem dosť skepticky.
|
|
Re: Hjkkbvb
Od reg.: K-NinetyNine
|
Pridané:
20.12.2018 15:29
Nebolo to 64 ale 640, nebolo to kb ale kB a Bill to nikdy nepovedal.
|
|
Re: Hjkkbvb
Od: loa_leroa
|
Pridané:
21.12.2018 6:31
ale mohol to povedat! a to uz je skoro ako keby to povedal
|
|
Re: Hjkkbvb
Od: Jamrich...
|
Pridané:
22.12.2018 9:12
64 kB a 64 KB je jedno a to isté. JEDEC povoľuje používanie práve KB(Podľa nejakého SI je správne kB).
|
|
Re: Hjkkbvb
Od: Okoloiduci
|
Pridané:
20.12.2018 14:52
Offtop - Mari sa mi, ze XP embedded bolo mozne rozsekat na lubovolne menostvo casti, a nejaky borec spravil funkcne jadro pod 1 MB... (no GUI, no drivers, ..).
S konkretnou sietovkou sa bolo mozne dostat do 1,44 MB.
|
|
Re: Hjkkbvb
Od: ajsd
|
Pridané:
20.12.2018 18:39
hej, volalo sa to DOS :D
|
|
Re: Hjkkbvb
Od: jebe jebe jebe
|
Pridané:
21.12.2018 11:40
TempleOS
Pozrite si to. Nakodil to schizofrenik sa 10 rokov a je to dost dobre
|
|
Re: Hjkkbvb
Od: Jamrich.
|
Pridané:
23.12.2018 10:04
Celý Windows 10 by mali navždy izolovať od ľudí!
|
|
Yooooo dawg
Od reg.: M.Miiicho
|
Pridané:
20.12.2018 15:22
Yo daw, me heard you like windows.
So we put windows in your windows, so you can windows while windows.
|
|
Re: Yooooo dawg
Od: Junkie
|
Pridané:
20.12.2018 17:56
Can I win a dose with windows? I wanna win dose.
|
|
Prihláste sa a povoľte si emailové notifikácie na odpovede na Váš príspevok.
Od: Lili Lulu
|
Pridané:
20.12.2018 18:04
Vrátte nám Windows 7
|
|
Objavili teplú vodu
Od: jaaaaaaaaaaj
|
Pridané:
20.12.2018 20:18
Sandboxie jestvuje dlhé roky a napríkad antivirák Comodo má svoj tiež dlho...
Klasika - vykrádanie cudzích nápadov.
|
|
Re: Objavili teplú vodu
Od: Snake...
|
Pridané:
20.12.2018 23:08
Vykradanie cudzich napadov? To ani zdaleka - toto mala byt feature ktoru volali InPrivate Desktop a posledny rok o nech rozpravali na kazdej konferencke, malo to byt seamless na styl sandboxie (tj kliknes, spustis, potom zmazes sandbox), no ale potom to dostali nakodit indiani ktori si povedali - jebeme na usera, nakodime to co najjednoduchsie, takze zobrali Hyper-V Containers, spravili nejaky sprosty dynamic linking obrazu, memory management a bolo. Proste totalne odflaknuta robota, pritom toto malo potencial velmi velky, takto si radsej rozbehnem virtualku kde si mozem otestovat aj veci na ktore treba reboot, nez riesit takyto sandbox (alebo opat, sandboxie, a bez Hyper-V). Chvalit sa tym ze tam je battery passthrough a guest "vidi" aj GPU, to dakujem pekne, to fakt cloveku pri tomto chyba.
|
|
Re: Objavili teplú vodu
Od: UltimateDeveloper
|
Pridané:
21.12.2018 0:13
No ked to povie nejaky kokotko zo slovenskej horneho dolneho zaprdakova>>>> Ojeb si hlavu o prvy obrubnik jebko a odpal do pice>>>>
|
|
Re: Objavili teplú vodu
Od: Snake...
|
Pridané:
21.12.2018 0:32
Dobre Jožko, a teraz vypnúť GTA V, vycikať sa a šup spať, zajtra musíš ozdobiť stromček.
|
|
Re: Objavili teplú vodu
Od: Jamrich.
|
Pridané:
22.12.2018 9:13
A kedy bude prať plienočky???
|
|
Re: Objavili teplú vodu
Od: Rado2
|
Pridané:
21.12.2018 12:19
tiež si ukradol nápad písať sprostosti do diskusií :)
|