Khi bạn truy cập một trang web (không xác định) hoặc cài đặt một số công cụ (miễn phí), bạn luôn gặp rủi ro nhất định. Ví dụ, phần mềm độc hại bí mật xuất hiện hoặc ứng dụng hóa ra không ổn định như vậy. Bằng cách chạy phần mềm hoàn toàn tách biệt với phần còn lại của hệ thống, bạn giảm thiểu hoặc tránh những rủi ro đó. Kỹ thuật này được gọi là sandboxing.
Để luôn đi trước phần mềm độc hại một bước, chẳng hạn như vi-rút và ransomware, bạn tự nhiên cài đặt một công cụ chống vi-rút vững chắc và luôn cập nhật nó. Thật không may, những công cụ như vậy không phải lúc nào cũng phát hiện hoặc chặn tất cả các trang web hoặc phần mềm giả mạo. Do đó, bạn nên thực hiện các biện pháp bảo mật bổ sung, đặc biệt khi bạn truy cập các trang web không xác định hoặc muốn dùng thử phần mềm mới.
Một kỹ thuật đã được chứng minh là hộp cát, cách ly các ứng dụng riêng lẻ khỏi hệ điều hành cơ bản và với các ứng dụng khác. Như nó đã có, chúng được đặt trong một hộp cát mà từ đó chúng không thể (nên) thoát ra.
Ở cấp độ kỹ thuật hơn, người ta cũng nói về ảo hóa ứng dụng vì những ứng dụng đó sau đó chạy trong một loại môi trường ảo. Rốt cuộc, đối với phần mềm, nó có vẻ như thể nó hoạt động trong môi trường thực (Windows) của bạn, vì nó không nhận biết được ranh giới trong hộp cát.
Trong bài viết này, chúng tôi xem xét một số kỹ thuật và công cụ để khởi động tất cả các loại ứng dụng trong một hộp cát an toàn như vậy. Nếu mọi thứ trở nên kosher, thì bạn có thể kết hợp an toàn nó vào môi trường 'thực' của mình sau đó, nếu bạn muốn.
01 trình duyệt
Nó có thể làm bạn ngạc nhiên, nhưng nhiều trình duyệt đã cung cấp một số mức độ hộp cát theo mặc định. Ví dụ: điều này đã xảy ra với Google Chrome trong một thời gian và cả Firefox từ phiên bản 54. Về nguyên tắc, chúng bắt đầu một hoặc nhiều quy trình mới cho mỗi trang web để thực thi (các tập lệnh trên) trang đó, điều này làm cho nó khó khăn hơn để phần mềm độc hại tiềm ẩn thao tác các tab hoặc tệp của trình duyệt.
Ngay cả Internet Explorer cũ tốt cũng cung cấp chức năng tương tự. Trước tiên bạn phải kích hoạt nó: đi tới Tùy chọn Internet / Nâng cao và đặt một tấm séc bên cạnh Bật chế độ bảo vệ nâng cao. Tuy nhiên, không thể loại trừ rằng một số tiện ích bổ sung (không tương thích) không còn hoạt động chính xác.
Các giải pháp khác cũng được thảo luận sau trong bài viết này, chẳng hạn như khởi động Chrome hoặc Edge trong đường viền của Windows Sandbox hoặc kết hợp với Trình bảo vệ ứng dụng của Bộ bảo vệ Windows.
02 Antivirus
Các phiên bản trả phí của phần mềm chống vi-rút thường có nhiều tính năng bảo mật bổ sung. Ví dụ: Bộ bảo mật Internet cung cấp cả Avast! như Kaspersky cả trong một chức năng hộp cát. Với trình duyệt thứ hai, một trình duyệt hộp cát đảm bảo, trong số những thứ khác, bảo vệ các giao dịch tài chính trực tuyến của bạn.
Bạn cũng sẽ tìm thấy một hộp cát trong phiên bản Comodo Antivirus miễn phí. Nó không chỉ sử dụng trình duyệt dựa trên Chromium, bao gồm cả công nghệ hộp cát mà còn cho phép bạn khởi chạy bất kỳ ứng dụng nào trong hộp cát. Bấm vào Nhiệm vụ và lựa chọn Nhiệm vụ quản lý / Bắt đầu ảo / Chọn và bắt đầu. Trỏ vào một tệp exe và chạy nó: một khung màu xanh lá cây xung quanh cửa sổ ứng dụng cho biết rằng chương trình đang chạy trong hộp cát. Bất cứ lúc nào, bạn có thể đặt lại hộp cát (vùng chứa) với các thay đổi của các ứng dụng bạn đã đặt trong đó.
03 Defender Antivirus
Microsoft cũng đang tham gia vào ảo hóa ứng dụng và hộp cát. Kể từ Windows 10 1703, nó cung cấp tùy chọn chạy Trình chống vi rút của Bộ bảo vệ Windows gốc trong hộp cát. Công cụ chống vi-rút này chạy với quyền cao theo mặc định, khiến nó trở thành mục tiêu phổ biến của phần mềm độc hại. Bạn kích hoạt chức năng này như sau. Nhấp chuột phải vào Windows PowerShell và lựa chọn Chạy như quản trị viên. Tại dấu nhắc lệnh, hãy chạy lệnh sau:
setx / M MP_FORCE_USE_SANDBOX 1, sau đó bạn khởi động lại Windows.
Nếu sau đó bạn khởi động Trình quản lý tác vụ Windows (Ctrl + Shift + Esc) và nhấp vào Thêm chi tiết / Chi tiết bấm vào, bạn cũng có thể nghe thấy nó ở đây MsMpEngCP.exe để xem nó chạy.
04 NGÀY HÔM NAY
Người dùng Windows 10 Pro 64-bit 1803 trở lên cũng có thể kích hoạt Bộ bảo vệ ứng dụng Windows Defender (WDAG) tích hợp sẵn để sử dụng trong Edge. Dưới đây là các yêu cầu hệ thống chính xác. Sau đó, trình duyệt của bạn bị khóa trong một máy ảo hạn chế sử dụng Hyper-V. Ví dụ: máy này không thể truy cập khay nhớ tạm hoặc các tệp bên ngoài. cho ăn Windows Powershell với tư cách là quản trị viên và chạy lệnh sau:
Enable-WindowsOptionalFeature -online -FeatureTên Windows-Defender-ApplicationGuard
Sau khi khởi động lại PC của bạn, hãy khởi động Edge. Tùy thuộc vào câu Edge của bạn, bạn có thể cần edge: // flags gõ vào thanh địa chỉ và Bảo vệ ứng dụng Microsoft Edge chuyển. Bây giờ bạn sẽ có quyền truy cập vào một tùy chọn bổ sung thông qua nút…: Cửa sổ bảo vệ ứng dụng mới.
Để cũng sử dụng WDAG trong Chrome, bạn cần một tiện ích mở rộng trình duyệt, bạn có thể tải xuống tại đây. Nếu tiện ích mở rộng cũng cung cấp cho bạn một liên kết đến ứng dụng WDAG Companion trong Windows Store, bạn cũng cần phải cài đặt nó. Sau đó khởi động lại Windows.
Định cấu hình hộp cát
Để tùy chỉnh hộp cát Windows, bạn cần tạo tệp cấu hình wsb và sửa đổi thủ công các hướng dẫn xml. Giải thích thêm về điều này có thể được tìm thấy ở đây.
Trình quản lý cấu hình hộp cát làm cho nó dễ dàng hơn. Giải nén tệp lưu trữ bằng một cú nhấp đúp vào tệp đã giải nén Windows Sandbox Editor v2.exe-tập tin. Con ong Thông tin cơ bản nhập tên hộp cát của bạn, cũng như đường dẫn đến tệp wsb. Cho biết liệu bạn có muốn kết nối mạng hay không và gpu có phải được ảo hóa hay không (đối với Tình trạng VGA). Đi đến Thư mục được ánh xạ và bấm vào Thư mục trình duyệt để có thể truy cập một thư mục từ môi trường Windows 'thực' từ hộp cát. Xuyên qua Lệnh khởi động bạn có thể có các lệnh tự động chạy khi bạn khởi động hộp cát của mình. Xác nhận với Lưu hộp cát hiện có. Để bắt đầu một hộp cát, hãy chuyển đổi tùy chọn Chạy Sandbox sau khi thay đổi trong, giới thiệu bạn qua Tải Sandbox hiện có vào tệp wbs của bạn và xác nhận với Lưu hộp cát hiện có.
05 Hộp cát Windows
Microsoft đã tăng tốc kỹ thuật hộp cát với việc giới thiệu công cụ Hộp cát thực trong Windows 10 1903. Về nguyên tắc, công cụ này chỉ khả dụng cho người dùng Windows Pro và Enterprise (xem thêm hộp văn bản 'Trang chủ hộp cát'). Công nghệ này cũng sử dụng Hyper-V một cách hữu ích: nó cung cấp một môi trường Windows ảo trong đó bạn có thể thử nghiệm một cách an toàn với các trang web và phần mềm không xác định. 'Hộp cát' này thực sự rất gần với ảo hóa hệ thống (xem hộp văn bản 'Ảo hóa hệ thống').
Bạn cũng phải tự kích hoạt Windows Sandbox. Nhấn phím Windows + R và nhập tính năng tùy chọn từ. Di chuyển đến tùy chọn Hộp cát Windows và đánh dấu kiểm ở đây. Xác nhận với VÂNG và khởi động lại hệ thống của bạn. Điều đó phải đáp ứng các yêu cầu nhất định, chẳng hạn như có bộ xử lý 64-bit, ảo hóa được kích hoạt trong bios (AMD-V hoặc Intel VT) và ít nhất 4 GB ram.
Khi Sandbox được kích hoạt thành công, bạn chỉ cần nhập danh sách chương trình Hộp cát Windows Khởi nghiệp. Một lúc sau, một cửa sổ bật lên với môi trường Windows ảo. Điều này tự động giới hạn quyền truy cập vào Windows 'thực' bên dưới: ví dụ: bạn sẽ nhận thấy điều này ngay lập tức khi bạn mở Explorer tại đây. Tất cả các điều chỉnh cũng biến mất ngay sau khi bạn đóng môi trường ảo. Hãy nhớ rằng phần mềm ảo hóa khác, chẳng hạn như VirtualBox, sẽ không còn hoạt động cho đến khi bạn tắt chức năng Windows Sandbox một lần nữa!
Trang chủ hộp cát
Windows Sandbox thường không khả dụng cho Windows Home, nhưng nó có sẵn một cách đường vòng. Đây là tệp Sandbox Installer.zip. Sau khi tải xuống và giải nén, nhấp chuột phải vào tệp Sandbox Installer.bat và chọn Chạy như quản trị viên. Sau khi hoàn thành quá trình, xác nhận với Y, sau đó PC của bạn sẽ khởi động lại. Sau đó, bạn nên thêm Windows Sandbox vào Các thành phần Windows phải tìm lại nó. Trên cùng một trang web, bạn cũng sẽ tìm thấy một Sandbox UnInstaller.ziptrong trường hợp bạn muốn loại bỏ nó.
06 Sandboxie: Khởi động
Một giải pháp thay thế tuyệt vời cho Windows Sandbox là công cụ phần mềm miễn phí Sophos Sandboxie, hoạt động trên tất cả các phiên bản Windows 7 trở lên, bao gồm cả Windows Home. Sau khi cài đặt, bạn sẽ tìm thấy một hộp cát có tên Mặc định hộp cát vào, nhưng nó sẽ trống. Bạn cũng có thể thay đổi tên từ menu ngữ cảnh.
Ví dụ: bạn có thể chạy một trình duyệt trong một hộp cát như vậy bằng cách nhấp chuột phải vào hộp cát của bạn và Chạy hộp cát / Khởi chạy trình duyệt web chọn. Bạn có thể dễ dàng kiểm tra hoạt động: tải xuống bất kỳ tệp nào và đặt nó trên màn hình của bạn. Bạn sẽ nhận thấy rằng nó không hạ cánh trên màn hình nền thông thường của bạn, mà trên màn hình nền của hộp cát của bạn.
07 Sandboxie: nó hoạt động như thế nào
Ngay sau khi tải xuống này, một cửa sổ có tên “Khôi phục ngay lập tức” bật lên. Nếu bạn vẫn muốn tệp đã tải xuống từ môi trường được bảo vệ trên màn hình thực của mình, hãy nhấp vào nút Để phục hồi.
Sau đó cũng có thể xóa tệp khỏi hộp cát. Để thực hiện việc này, hãy mở menu trong cửa sổ Sandboxie chính Xem / Tệp và Thư mục. Sau đó điều hướng đến tệp mong muốn. Sau đó, bạn có thể chuyển nó đến vị trí mong muốn từ menu ngữ cảnh. Quay lại cửa sổ Sandboxie được thực hiện thông qua menu Hình ảnh / Chương trình.
Để chạy các ứng dụng khác trong hộp cát của bạn, hãy nhấp chuột phải vào hộp cát của bạn và chọn Chạy chương trình hộp cát / Chạy hoặc Chạy từ menu bắt đầu. Bạn có thể tạo một hộp cát mới qua Hộp cát / Tạo hộp cát mới.
Để có thể chạy một chương trình độc quyền trong hộp cát, hãy nhấp chuột phải vào hộp cát của bạn và chọn Cài đặt hộp cát. Mở phần Bắt đầu chương trình và bấm vào Chương trình bắt buộc / Thêm chương trình / Mở / Chọn tệp. Tham khảo tệp chương trình và xác nhận lựa chọn của bạn. Để khởi động chương trình một cách nhanh chóng, bạn có thể nhấp chuột phải vào chương trình đó trong Explorer và Chạy hộp cát (không hoạt động với tất cả các chương trình).
08 Thời gian đóng băng Toolwiz
Toolwiz Time Freeze (phù hợp với Windows XP trở lên) cũng là một công cụ hộp cát, nhưng là một công cụ đặt toàn bộ hệ thống của bạn vào hộp cát như ban đầu. Theo nghĩa đen, tất cả các hoạt động ghi, ít nhất là từ phân vùng Windows của bạn, được chuyển hướng đến tệp bộ nhớ cache và sau khi khởi động lại hệ thống của bạn, bộ nhớ cache sẽ tự động được làm trống trở lại. Một vài trình điều khiển hạt nhân sẽ được thêm vào hệ thống của bạn trong quá trình cài đặt, vì vậy hãy đảm bảo sao lưu hệ thống trước.
Bạn có thể để nguyên cài đặt mặc định trong khi cài đặt. Sau khi khởi động lại PC của bạn, hãy khởi động công cụ. Nhấp chuột phải vào biểu tượng chương trình trong khay hệ thống Windows và chọn Hiển thị chương trình, sau đó bạn nhấn nút Thời gian bắt đầu đóng băng Bận. Tất cả các thay đổi đối với phân vùng hệ thống của bạn giờ đây sẽ tự động biến mất sau khi khởi động lại. Ví dụ: bạn có thể kiểm tra điều này bằng cách thêm hoặc xóa một số tệp hoặc thay đổi giao diện của màn hình nền.
Bạn cũng có thể kết thúc phiên bất kỳ lúc nào bằng Dừng thời gian đóng băng để nhấp vào. Sau khi xác nhận của bạn, Windows sẽ tự động khởi động lại và tất cả các thay đổi sẽ bị bỏ qua.
Chúng tôi muốn thông báo cho bạn rằng trong cửa sổ chính qua Bật loại trừ thư mục khi Thời gian cố định đang BẬT các tệp nằm ngoài sự bảo vệ của Toolwiz Time Freeze. Ở đây là đủ thông qua các nút Thêm tập tin hoặc Thêm thư mục thêm vào. Dữ liệu này sau đó được giữ lại sau khi khởi động lại.
Ảo hóa hệ thống
Trong bài viết, chúng tôi tập trung vào ảo hóa ứng dụng, nhưng một số công cụ rõ ràng có điểm chung với ảo hóa hệ thống, ảo hóa không chỉ một số ứng dụng nhất định mà còn cho toàn bộ hệ thống - hãy nghĩ đến Windows Sandbox và một phần là Toolwiz Time Freeze.
Một trong những công cụ ảo hóa hệ thống miễn phí phổ biến nhất là Oracle VM VirtualBox. Tóm lại, đây là cách bạn bắt đầu.
Tải xuống và cài đặt công cụ. Khi bạn khởi động nó, cửa sổ 'máy ảo' (VM) vẫn trống. Để thêm một máy ảo như vậy, hãy nhấp vào Mới. Đặt tên cho máy ảo của bạn và cho biết nó sẽ kết thúc trong thư mục nào. chỉ ra nó Kiểu trên (ví dụ MS Windows) và đi kèm Phiên bản. nhấn Tiếp theo và cung cấp một lượng ram thích hợp cho máy ảo của bạn (ví dụ: 2048 MB cho cửa sổ). bấm vào Tiếp theo / Tạo / Tiếp theo / Tiếp theo. Gán kích thước thích hợp cho đĩa ảo (ví dụ: 50 GB) và xác nhận với Tạo ra. Nhấp đúp vào máy ảo mới và nhấp vào biểu tượng thư mục. Trỏ tới tệp ảnh đĩa (iso) của hệ thống đích. ngay sau khi bạn nhấp vào Bắt đầu nó sẽ được cài đặt. Sau đó, bạn có thể khởi động và sử dụng hệ thống ảo.
