Kaj je Windows peskovnik? Kako si lahko z njim pomagate pri varnostnih zagatah?

Neznani ali sumljivi programi lahko na glavnem sistemu povzročijo celo vrsto težav, od zlonamerne programske opreme do neželenih sprememb sistemskih nastavitev. Ena izmed učinkovitih zaščit je t. i. sandbox (»peskovnik«), ki omogoča zagon programov v izoliranem in varovanem navideznem okolju, ločenem od preostanka sistema.

Dolga leta so uporabniki za Windows uporabljali orodja, kot je Sandboxie, ki spremlja vse spremembe, ki jih program izvede, ter jih ob izhodu razveljavi, s čimer povrne sistem v prvotno stanje. Za še višjo stopnjo izolacije pa so se uporabljali navidezni stroji (z VirtualBox ali z vgrajeno tehnologijo Microsoft Hyper-V), v katere smo ločeno namestili operacijski sistem in lahko nevarne programe poganjali tam – s možnostjo, da stanje navideznega sistema kadarkoli povrnemo na začetek. Ta pristop je zelo zanesljiv, vendar zahteva več znanja ter časa za vzpostavitev in vzdrževanje dodatnega sistema.

Kaj je Windows peskovnik (Windows Sandbox)?

Windows peskovnik je izolirano namizno okolje z operacijskim sistemom Windows, namenjeno varnemu preizkušanju programov in datotek. Teče kot začasni lahki virtualni stroj znotraj vašega sistema. Uporablja strojno pospešeno virtualizacijo (Hyper-V) za popolno ločitev od gostiteljskega operacijskega sistema. Vsakič, ko ga zaženemo, dobimo povsem čist in prazen sistem, ki se vede kot na novo nameščen Windows, vse nameščene programe in datoteke v peskovniku pa ob zaprtju nepovratno izgubimo. Peskovnik je del Windows 10/11 (na voljo v izdajah Pro, Enterprise in Education, ne pa v Home) in ne zahteva nobene dodatne licence ali namestitve drugega operacijskega sistema.

Če imate nameščeno različico Windows 10/11 Home, si jo lahko naknadno spremenite v podprto različico s skripto, ki jo najdete na spletu (massgrave), ali z zakupom nove licence.

Kako vklopiti in uporabljati Windows peskovnik (Sandbox)?

Za uporabo peskovnika potrebujete združljiv sistem. To je Windows 10 (1903 ali novejši) oziroma Windows 11 z licenco Pro, Enterprise ali Education ter podporo za virtualizacijo v strojni opremi. Sodobni procesorji Intel/AMD večinoma podpirajo tehnologije virtualizacije (Intel VT-x, AMD-V itd.), vendar je pogosto treba to možnost omogočiti v nastavitvah BIOS/UEFI.

1. V Windows 10/11 odprite nadzorno ploščo oz. iskalnik v Start in poiščite »Vklop ali izklop funkcij sistema Windows« (Turn Windows features on or off). Na seznamu funkcij najdite Windows Sandbox (Windows peskovnik) in označite potrditveno polje. Kliknite V redu in po pozivu znova zaženite računalnik, da se funkcija namesti.
2. Po prijavi v Windows odprite Start meni in vpišite Windows Sandbox. Kliknite ikono Windows Sandbox. Sistem bo nekaj sekund nalagal, nato pa se odpre okno z virtualnim namizjem Windows. Videli boste namizje, podobno vašemu, vendar gre za ločen začasni sistem s privzeto nastavitvijo (lahko opazite, da so na primer nameščeni le privzeti programi in brskalnik Edge).
3. V peskovniku lahko zdaj nameščate programe ali odpirate datoteke skoraj povsem enako kot v običajnem sistemu. Namestite lahko sumljivo aplikacijo in jo preizkusite. Tudi če vsebuje virus, bo ta ostal znotraj peskovnika. Sistem v peskovniku ima privzeto omogočen dostop do interneta (prek navideznega omrežja), kar olajša prenos datotek ali posodobitev, vendar bodite previdni, saj ima lahko škodljiva koda tako dostop do omrežja. Datoteke med gostiteljem in peskovnikom lahko izmenjujete z odložiščem. Na primer, na glavnem sistemu kopirajte datoteko (Ctrl+C) in jo znotraj peskovnika prilepite (Ctrl+V). Naprednejši uporabniki lahko s pripravo konfiguracijske .wsb datoteke omogočijo tudi samodejno mapiranje posameznih map gostitelja v peskovnik.
4. Ko končate s testiranjem, preprosto zaprite okno Windows peskovnika (klik na X kot običajno). Pojavilo se bo opozorilo, da bo celotna vsebina peskovnika izbrisana. Potrdite z V redu. Virtualni sistem se bo ugasnil in vse, kar je bilo v njem, bo trajno izbrisano. Na vašem glavnem Windowsu bo ostalo točno tako stanje, kot je bilo pred zagonom peskovnika, kot da se nič ni zgodilo. Če boste pozneje znova zagnali peskovnik, boste dobili povsem novo instanco sistema Windows, brez sledi prejšnje seje.

Če želite v peskovniku zadržati kak rezultat (preneseno datoteko), morate pred zaprtjem poskrbeti, da jo kopirate iz peskovnika na gostitelja (recimo prek odložišča ali v skupno mapo). V nasprotnem primeru bodo podatki izgubljeni, ko zaprete okno peskovnika.

Windows peskovnik, Sandboxie, VirtualBox ali …?

Windows peskovnik ni edina rešitev za izolacijo zlonamerne ali nezaželene programske opreme.

Orodje Sandboxie deluje na ravni operacijskega sistema. Aplikacijo zažene znotraj peskovnika tako, da prestreza njen dostop do sistema. Vse spremembe, ki jih program izvede (npr. zapisi v registre, datoteke), Sandboxie preusmeri v izolirano območje in jih ob zaprtju razveljavi, s čimer sistem povrne v prvotno stanje. Prednost Sandboxieja je, da je nezahteven in deluje tudi na Windows Home (ter starejših verzijah Windows), omogoča pa izolacijo posameznih programov brez poganjanja celotnega sistema. Poleg tega lahko v Sandboxie okolju vzporedno teče več programov oziroma več ločenih peskovnikov.

Popoln navidezni stroj (VM), bodisi prek odprtokodnega programa VirtualBox, VMware ali vgrajenega Hyper-V, pomeni, da ročno ustvarimo virtualni računalnik in vanj namestimo celoten operacijski sistem (Windows ali Linux). Takšna rešitev zagotavlja popolno izolacijo, saj VM teče ločeno od gostitelja in ima svoj navidezni disk, strojno opremo in ostalo. Poleg tega ima uporabnik popoln nadzor nad virtualnim sistemom: lahko ga ohrani vključenega dalj časa, nanj trajno namešča programsko opremo, spreminja nastavitve …

Ključna prednost VM-a je možnost shranjevanja stanja. V VirtualBox/VMware/Hyper-V lahko ustvarite snapshot (kontrolno točko) sistema in se kasneje nanjo vrnete, kar je zelo uporabno pri testiranju. Če na primer niste prepričani v kredibilnost neznanega programa, lahko pred namestitvijo posnamete stanje, po koncu namestitve/testa pa sistem povrnete na shranjeno točko.

Druga prednost pravi navideznih strojev je, da imate lahko več navideznih strojev hkrati (če imate dovolj virov) in v njih zaženete različne sisteme, na primer drugo različico Windowsa ali pa Linux. Medtem ko Windows peskovnik vedno zažene enako verzijo Windows, kot je na gostitelju.

Seveda pa imajo VM-ji tudi slabosti. Potreben je dodaten prostor na disku (več gigabajtov za vsak VM) in več pomnilnika (VM si rezervira na primer 4+ GB RAM-a, ki so vzeti gostitelju). Tudi nastavitev je daljša, saj morate najprej ročno namestiti operacijski sistem in poskrbeti za njegove posodobitve ter vzdrževanje, medtem ko Windows peskovnik vse to opravi samodejno v nekaj sekundah.

Za kratkotrajno testiranje ali analizo sumljivih datotek je zato Windows peskovnik precej bolj praktičen, ker ga lahko kadarkoli prižgete in ugasnete brez velikega vnaprejšnjega dela. Če pa želite daljše poganjanje programa, trajnejšespremembe ali poganjati recimo celoten strežnik v izolaciji, potem polni navidezni stroj ostaja boljša rešitev.

Hyper-V in trajni testni sistemi

Windows peskovnik cilja na čim hitrejše in enostavnejše preizkušanje v izolaciji, kar pa pomeni, da ni primeren za vse situacije. Naprednejši uporabniki, ki že imajo Windows 10/11 Pro ali Enterprise, lahko izkoristijo vgrajeno platformo Hyper-V in si ročno ustvarijo lastne navidezne stroje za testiranje.

To je v bistvu podoben pristop kot peskovnik, a z več možnosti prilagoditve v zameno za nekoliko več nastavitev na začetku. Hyper-V omogoča, da na svojem računalniku ustvarite enega ali več VM-jev. Vsak od njih je lahko popolnoma ločen od omrežja in drugih računalnikov (če tako določite), kar je idealno za varno preizkušanje zelo nevarnih programov brez internetne povezave. V Hyper-V Manager konzoli lahko za vsak VM nastavljate navidezno strojno opremo (CPU, RAM, disk, omrežne vmesnike …) ter na primer izberete, da navidezni mrežni vmesnik ni povezan v zunanje omrežje, s čimer imate izolirano zaprto okolje.

Ko ustvarite nov VM, namestite želeni operacijski sistem (lahko znova Windows ali kaj drugega). Za to boste potrebovali namestitveno ISO datoteko ali predpripravljeno sliko sistema. Po namestitvi obravnavate VM kot ločen računalnik. Lahko ga prižgete ali ugasnete po potrebi, vsi podatki v njem pa ostanejo ohranjeni, dokler jih sami ne izbrišete. To pomeni, da lahko na tak testni VM namestite celo zbirko programov in jih preizkušate skozi daljše obdobje, brez da bi jih bilo treba na novo nameščati ob vsakem zagonu (kot pri Windows peskovniku).

Posebna prednost uporabe Hyper-V (ali drugih VM platform) je možnost ustvarjanja kontrolnih točk (checkpoints ali snapshots) stanja sistema. Na primer, ko v VM namestite čist operacijski sistem in osnovne posodobitve, lahko posnamete prvotno stanje. Nato v naslednjih dneh nameščate in preizkušate različne programe. Če se kateri izkaže za škodljivega ali povzroči težave, lahko enostavno povrnete VM nazaj na čisto stanje in tako sistem »očistite« posledic testiranja.

To je podobno kot pri uporabi peskovnika, le da imate tukaj možnost izbire trenutka za obnovitev in lahko hranite več različnih stanj (eno z osnovno konfiguracijo, drugo po namestitvi določenih posodobitev …). Seveda pa takšna fleksibilnost pomeni, da morate za VM nameniti dovolj prostora na disku (posnetki zasedejo dodaten prostor) in spremljati posodobitve sistema znotraj VM-ja, saj ta ne bo samodejno posodabljal sistema kot Windows peskovnik ob vsakem zagonu.

V praksi si mnogi napredni uporabniki postavijo celotne virtualne laboratorije. Na zmogljivejšem računalniku ali strežniku lahko teče več navideznih strojev hkrati, na primer eden z Windows 10 brez omrežja za testiranje virusov, drugi z Windows Server za preizkus strežniških nastavitev, tretji z Linuxom za razvoj in podobno.

Za vzpostavitev Hyper-V okolja v Windows Pro je potreben le vklop funkcije Hyper-V (podobno kot smo opisali za Windows Sandbox) in zagon orodja Hyper-V Manager, v katerem kreirate nova virtualna okolja. Postopek namestitve operacijskega sistema v tem okolju je enak kot na fizičnem računalniku.

Izberite sebi ustrezno orodje

Windows peskovnik je odlično orodje za hitro in enostavno preizkušanje programov v varnem okolju, zlasti kadar želimo nekaj preizkusiti enkrat ali občasno in nočemo zapravljati časa z vzpostavitvijo celotnega VM. Za mnoge IT strokovnjake je postal nepogrešljiv pri preverjanju neznanih priponk, sumljive programske opreme ali ob obisku tveganih spletnih strani. Preprosto ga zaženejo, opravijo, kar je potrebno, in zaprejo, brez skrbi da bi kaj »ušlo« na produkcijski sistem. Po drugi strani pa klasični navidezni stroji (Hyper-V, VirtualBox …) ostajajo pomembni za bolj poglobljeno testiranje in razvoj, kjer potrebujemo daljši obstojni sistem, različna okolja ali možnost posnetkov stanja.