Pri návšteve (neznámeho) webu alebo inštalácii nejakého (bezplatného) nástroja vždy riskujete určité riziko. Napríklad malvér prichádza tajne alebo sa ukáže, že aplikácia nie je taká stabilná. Spustením softvéru úplne oddelene od zvyšku vášho systému tieto riziká obmedzujete alebo sa im vyhnete. Táto technika sa nazýva sandboxing.
Aby ste boli o krok vpred pred malvérom, ako sú vírusy a ransomvér, prirodzene si nainštalujete slušný antivírusový nástroj a udržiavate ho pekne aktualizovaný. Takéto nástroje bohužiaľ nie sú vždy schopné odhaliť alebo blokovať všetky podvodné weby alebo softvér. Najmä keď navštevujete neznáme stránky alebo chcete vyskúšať nový softvér, mali by ste preto podniknúť ďalšie bezpečnostné opatrenia.
Osvedčenou technikou je karanténa, kde sú jednotlivé aplikácie izolované od základného operačného systému a iných aplikácií. Sú akoby vložené do pieskoviska, z ktorého nemôžu (nemali by) uniknúť.
Na technickejšej úrovni sa hovorí aj o virtualizácii aplikácií, pretože tieto aplikácie potom bežia v akomsi virtuálnom prostredí. Koniec koncov, pre softvér sa zdá, akoby pracoval vo vašom skutočnom prostredí (Windows), pretože si nie je vedomý hraníc v karanténe.
V tomto článku sa pozrieme na množstvo techník a nástrojov na spustenie všetkých druhov aplikácií v takom bezpečnom karanténe. Ak sa všetko ukáže ako kóšer, môžete ho potom bezpečne pridať do svojho „skutočného“ prostredia, ak chcete.
01 Prehliadače
Možno vás prekvapí, ale veľa prehľadávačov už predvolene ponúka určitý stupeň karantény. Toto už nejaký čas platí napríklad pre prehliadač Google Chrome a tiež pre prehliadač Firefox od verzie 54. V zásade spúšťajú jeden alebo viac nových procesov pre každú webovú stránku na vykonanie (skriptov) tejto stránky, ktoré sťažuje možnému škodlivému softvéru používať ostatných manipulovať s kartami alebo súbormi prehliadača.
Aj starý dobrý Internet Explorer ponúka podobné funkcie. Najprv to musíte povoliť: prejsť na Možnosti Internetu / Pokročilé a vedľa neho začiarknite políčko Povoliť rozšírený chránený režim. Nemožno však vylúčiť, že určité (nekompatibilné) doplnky už nebudú fungovať správne.
Ďalej sa v tomto článku zaoberáme ďalšími riešeniami, napríklad spustením prehliadača Chrome alebo Edge v kontúrach systému Windows Sandbox alebo v kombinácii s programom Windows Defender Application Guard.
02 Antivírus
Platené verzie antivírusového softvéru majú často mnoho ďalších bezpečnostných funkcií. Napríklad súbory Internet Security Suites poskytujú program Avast! ako Kaspersky vo funkcii karantény. V prípade druhej verzie prehliadač v karanténe zaisťuje okrem iného ochranu vašich finančných transakcií online.
Pieskovisko nájdete aj v bezplatnej verzii Comodo Antivirus. Používa nielen prehliadač na báze chrómu vrátane technológie sandboxing, ale môžete ho použiť aj na spustenie ľubovoľnej aplikácie v karanténe. Kliknite na ikonu Úlohy a vyber si Zadržovacie úlohy / Spustiť virtuálne / Vybrať a spustiť. Prejdite na súbor exe a spustite ho: zelený rámček okolo okna aplikácie naznačuje, že program beží v karanténe. Pieskovisko (kontajner) môžete kedykoľvek resetovať pomocou zmien aplikácií, ktoré ste doň vložili.
03 Defender Antivirus
Spoločnosť Microsoft sa tiež podieľa na virtualizácii aplikácií a karanténe. Od verzie Windows 10 1703 ponúka možnosť spustenia vlastného programu Windows Defender Antivirus v karanténe. Tento antivírusový nástroj je predvolene spustený so zvýšenými oprávneniami, čo z neho robí obľúbený cieľ škodlivého softvéru. Túto funkciu aktivujete nasledovne. Kliknite pravým tlačidlom myši na Windows PowerShell a vyber si Spustiť ako správca. Na príkazovom riadku spustite nasledujúci príkaz:
setx / M MP_FORCE_USE_SANDBOX 1, potom reštartujte systém Windows.
Ak potom spustíte Správcu úloh systému Windows (Ctrl + Shift + Esc) a kliknete na Viac podrobností kliknutia, ktoré teraz môžete tiež počuť MsMpEngCP.exe je vidieť otáčať sa.
04 DEN
Používatelia systému Windows 10 Pro 64-bit 1803 a novších môžu tiež aktivovať zabudovaný program Windows Defender Application Guard (WDAG) na použitie v Edge. Tu sú presné systémové požiadavky. Prehliadač bude potom uzamknutý na obmedzenom virtuálnom počítači pomocou technológie Hyper-V. Toto zariadenie napríklad nemôže získať prístup k schránke alebo externým súborom. Zadajte Windows Powershell ako správca a spustite nasledujúci príkaz:
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
Po reštartovaní počítača sa Edge spustí. V závislosti od vášho verša Edge bude možno potrebné ísť najskôr edge: // príznaky zadajte do panela s adresou a Aplikácia Microsoft Edge Application Guard prepínač. Teraz by ste mali mať prístup k ďalšej možnosti pomocou tlačidla…: Nové okno Application Guard.
Ak chcete používať WDAG aj v prehliadači Chrome, potrebujete rozšírenie prehliadača, ktoré si môžete stiahnuť tu. Ak vám rozšírenie ponúka aj odkaz na aplikáciu WDAG Companion v obchode Windows, budete si ho musieť tiež nainštalovať. Potom reštartujte systém Windows.
Nakonfigurujte karanténu
Ak chcete prispôsobiť karanténu systému Windows, musíte vytvoriť konfiguračný súbor wsb a manuálne upraviť pokyny xml. Viac informácií o tomto nájdete tu.
Sandbox Configuration Manager to uľahčuje. Rozbaľte archívny súbor dvojitým kliknutím na extrahovaný súbor Windows Sandbox Editor v2.exespis. Včela Základné informácie zadajte názov vášho karantény, ako aj cestu, na ktorej by mal súbor wsb skončiť. Uveďte, či chcete sieťové pripojenie a či by sa mal virtualizovať aj grafický procesor (at Stav VGPU). Ísť do Mapované priečinky a kliknite na Prejdite priečinok mať prístup z izolovaného priestoru do priečinka zo „skutočného“ prostredia systému Windows. Skrz Príkazy pri spustení môžete nechať vykonať príkazy automaticky pri spustení karantény. Potvrďte pomocou Uložiť existujúce karanténu. Ak chcete spustiť karanténu, povoľte túto možnosť Po zmene spustite karanténu dovnútra, odkazujete cez Načítať existujúce karanténu do vášho súboru wbs a potvrďte pomocou Uložiť existujúce karanténu.
05 Sandbox pre Windows
Spoločnosť Microsoft urýchlila sandboxovú techniku zavedením originálneho nástroja Sandbox vo Windows 10 1903. Tento nástroj je v zásade k dispozícii iba používateľom systémov Windows Pro a Enterprise (pozri tiež rámček „Sandbox Home“). Táto technológia tiež dobre využíva Hyper-V: ktoré poskytuje virtuálne prostredie Windows, v ktorom môžete bezpečne experimentovať s neznámymi webmi a softvérom. Toto „karanténa“ je skutočne veľmi blízko k virtualizácii systému, (pozri textové pole „Virtualizácia systému“).
Windows Sandbox musíte tiež povoliť sami. Stlačte kláves Windows + R a zadajte voliteľné funkcie od. Prejdite na požadovanú možnosť Sandbox systému Windows a začiarknite tu. Potvrďte pomocou Ok a reštartujte systém. To musí spĺňať určité požiadavky, napríklad 64bitový procesor, virtualizácia aktivovaná v BIOSe (AMD-V alebo Intel VT) a minimálne 4 GB RAM.
Ak je karanténa úspešne aktivovaná, stačí otvoriť zoznam programov Sandbox systému Windows naštartovať sa. O niečo neskôr sa objaví okno s virtuálnym prostredím Windows. Automaticky obmedzuje prístup k základnému „skutočnému“ systému Windows: všimnete si to okamžite napríklad pri otvorení prieskumníka. Všetky úpravy tiež zmiznú, akonáhle zatvoríte virtuálne prostredie. Nezabudnite, že iný virtualizačný softvér, napríklad VirtualBox, už nebude fungovať, kým znova nevypnete funkciu Windows Sandbox!
Sandbox Home
Windows Sandbox nie je bežne k dispozícii pre Windows Home, ale je to kruhový objazd. Tu je súbor Sandbox Installer.zip. Po stiahnutí a rozbalení kliknite pravým tlačidlom myši na súbor Sandbox Installer.bat a vyberte Spustiť ako správca. Po dokončení procesu potvrďte pomocou Y., po ktorom sa počítač reštartuje. Potom bude vaša Sandbox systému Windows na adrese Súčasti systému Windows treba nájsť späť. Na tej istej webovej stránke tiež nájdete a Sandbox UnInstaller.zipsúbor, pre prípad, že by ste sa ho chceli zbaviť.
06 Sandboxie: spustenie
Vynikajúcou alternatívou k Windows Sandbox je freewarový nástroj Sophos Sandboxie, ktorý funguje vo všetkých verziách Windows 7 a novších vrátane Windows Home. Po inštalácii už pri prvom spustení nájdete pieskovisko s menom Sandbox Predvolené ďalej, ale je prázdny. Mimochodom, názov môžete zmeniť z kontextovej ponuky.
Napríklad v takom karanténe môžete spustiť prehliadač kliknutím pravým tlačidlom myši na karanténu a Spustite karanténu / spustite webový prehliadač vybrať. Operáciu môžete ľahko otestovať: stiahnite si ľubovoľný súbor a umiestnite ho na plochu. Všimnete si, že to nekončí na vašej bežnej pracovnej ploche, ale na pracovnej ploche vášho karantény.
07 Sandboxie: efekt
Ihneď po tomto stiahnutí sa zobrazí okno s názvom „Okamžité zotavenie“. Ak stále chcete stiahnutý súbor z chráneného prostredia na svoju skutočnú pracovnú plochu, kliknite na tlačidlo Obnoviť.
Ďalej je možné súbory načítať aj z karantény. Ak to chcete urobiť, otvorte ponuku v hlavnom okne aplikácie Sandboxie Obrázok / Súbory a priečinky. Potom prejdite na požadovaný súbor. Z kontextového menu ho potom môžete preniesť na požadované miesto. Cez ponuku sa môžete vrátiť do okna Sandboxie Obrázok / Programy.
Ak chcete v karanténe spustiť ďalšie aplikácie, kliknite pravým tlačidlom myši na karanténu a vyberte možnosť Spustiť karanténu / spustiť program alebo Spustiť z ponuky Štart. Nové karanténu môžete vytvoriť pomocou Sandbox / Vytvorte nové sandbox.
Ak chcete spustiť program iba v karanténe, kliknite pravým tlačidlom myši na karanténu a vyberte možnosť Nastavenia karantény. Otvorte rubriku Spustite program a kliknite na Vynútené programy / Pridať program / Otvoriť / Vybrať súbory. Prečítajte si programový súbor a potvrďte svoju voľbu. Ak chcete program spustiť rýchlo, kliknite naň pravým tlačidlom myši v Prieskumníkovi a Behajte v karanténe Vyberte (nepracuje so všetkými programami).
08 Toolwiz Zmrazenie času
Toolwiz Time Freeze (vhodný pre Windows XP a vyššie) je tiež karanténny nástroj, ktorý však akoby vložil celý váš systém do karantény. Doslova všetky operácie zápisu, minimálne tie, ktoré sa týkajú vášho oddielu Windows, sú presmerované do súboru vyrovnávacej pamäte a po reštartovaní systému sa táto vyrovnávacia pamäť automaticky vyprázdni. Počas inštalácie bude do vášho systému pridaných niekoľko ovládačov jadra, takže si najskôr urobte zálohu systému.
Počas inštalácie môžete ponechať pôvodné nastavenia nedotknuté. Po reštartovaní počítača spustite nástroj. Kliknite pravým tlačidlom myši na ikonu programu na systémovej lište systému Windows a vyberte ikonu Zobraziť program, po ktorom stlačíte tlačidlo Zastavenie času spustenia tlak. Všetky zmeny v systémovom oddiele teraz po reštarte automaticky zmiznú. Môžete to otestovať napríklad pridaním alebo odstránením niektorých súborov alebo zmenou vzhľadu pracovnej plochy.
Reláciu môžete tiež kedykoľvek ukončiť kliknutím Zastavte zastavenie času klikanie. Po vašom potvrdení sa systém Windows automaticky reštartuje a všetky zmeny sa zahodia.
Chceli by sme vás informovať, že môžete vstúpiť cez Povoliť vylúčenie priečinkov, keď je ZAPNUTÉ pozastavenie času súbory mimo ochrany Toolwiz Time Freeze. Tu je to dostatočné prostredníctvom tlačidiel Pridať súbor alebo Pridať priečinok pridať. Tieto údaje sa potom zachovajú po reštarte.
Virtualizácia systému
V článku sa zameriavame na virtualizáciu aplikácií, ale niekoľko nástrojov má jednoznačne spoločné základy s virtualizáciou systému, kedy sú virtualizované nielen určité aplikácie, ale takmer celý systém - myslite na Windows Sandbox a čiastočne aj Toolwiz Time Freeze.
Jedným z najpopulárnejších bezplatných nástrojov na virtualizáciu systému je Oracle VM VirtualBox. Stručne povedané, môžete s tým začať nasledovne.
Stiahnite a nainštalujte si nástroj. Po spustení je okno s „virtuálnymi strojmi“ (VM) stále prázdne. Ak chcete pridať takýto VM, kliknite na Nový. Pomenujte svoj VM a uveďte, v ktorom priečinku by sa mal skončiť. Poukážte na to Typ na (napr MS Windows) a zodpovedajúce Verzia. Stlačte Ďalší a zaistiť zodpovedajúce množstvo pamäte RAM pre váš vm (napríklad 2048 MB pre Windows). kliknite na Ďalej / Vytvoriť / Ďalej / Ďalej. Priraďte virtuálnemu disku vhodnú veľkosť (napríklad 50 GB) a potvrďte pomocou Vytvoriť. Dvakrát kliknite na nový vm a kliknite na ikonu priečinka. Prečítajte si súbor obrazu disku (iso) cieľového systému. Akonáhle nastúpite Štart bude nainštalovaný. Potom môžete spustiť a používať virtuálny systém.
