Windows 10 沙箱新功能“基鏡像”:可安全執行任意軟件
責編:gltian |2018-12-25 14:10:17微軟發布 Windows Sandbox 新功能,專用于執行潛在危險應用,令其無法觸及主機操作系統或內核。該功能隨剛剛發布的 Windows 10 Insider 預覽版19H1釋出,該版 Windows 10 的前一個版本就是今年10月剛更新過的 Windows 10 1809。
Fast Ring 通道的 Windows Insider 用戶安裝 19H1 build 18305 后可在特定硬件上試用 Windows Sandbox。
Windows Sandbox 有個簡單卻有用的主張:執行任意軟件而不用擔心設備上會駐留潛在惡意軟件。該功能可能為用戶省下設置虛擬機來評估非受信軟件的時間。
Windows Sandbox 中安裝的任何軟件都只存在于沙箱中,影響不到實體主機。一旦 Windows Sandbox 關閉,所有軟件連同其文件和狀態統統永久刪除。
微軟和谷歌早就在其Edge和Chrome瀏覽器中啟用了沙箱限制,用上沙箱技術后攻擊者便無法利用其它軟件(如 Adobe Flash )中的漏洞往主機操作系統中安裝惡意軟件了。
該新功能降低了使用硬件虛擬化技術測試潛在惡意軟件的門檻,利用微軟Hyper-V虛擬機管理程序運行一個獨立的內核將 Windows Sandbox 與主機隔開。
但該新功能要求主機基于AMD64架構,且BIOS啟用虛擬化功能。操作系統版本也得是 Windows 10 Pro 或 Windows 10 企業版。
微軟將 Windows Sandbox 描述為需要操作系統鏡像來引導啟動的“輕量級虛擬機”。使用該功能的一個主要好處在于,用戶無需下載虛擬機通常要求的虛擬硬盤,有已安裝 Windows 10 的一個副本即可。
物理主機BIOS中啟用虛擬化后,用戶需要PowerShell命令暴露出 Windows Sandbox 并勾選之。然后用戶就能在開始菜單中看到 Windows Sandbox 了。執行 Windows Sandbox 并將可疑軟件從主機復制過去,便可在沙箱中運行該軟件并觀察會發生什么情況。關掉 Windows Sandbox 限制的應用,該沙箱中的內容也就消失了。
微軟指出,當前實現中還有一些缺陷,比如安裝后和每個服務事件之后都會有1分鐘左右的CPU和磁盤高占用,拖慢開始菜單響應時間,不支持需要重啟的安裝程序,對高分辨率屏幕和多屏設置支持不夠等等。
為實現能處理一些文件修改的干凈Windows環境,微軟打造了“動態基鏡像”,該Windows鏡像有可修改文件的新鮮副本,但鏈向無法修改的操作系統鏡像中的文件。
微軟工程師解釋稱:
我們希望總能呈現一個干凈的環境,但問題是某些操作系統文件會變。我們的解決方案是構建所謂的‘動態基鏡像’:具備可變文件的干凈副本,但鏈向主機上該Windows鏡像中不可修改的文件。大部分的文件都是鏈接(不可變文件),這就是為什么不到100MB就能承載完整操作系統的原因。我們用 Windows Container 術語稱此實例為 Windows Sandbox ‘基鏡像’。