Kaj je Windows peskovnik? Kako lahko z njim testirate zlonamerno opremo?

Neznani ali sumljivi programi lahko na glavnem sistemu povzročijo celo vrsto težav, od zlonamerne programske opreme do neželenih sprememb sistemskih nastavitev. Ena izmed učinkovitih zaščit je t. i. sandbox (»peskovnik«), ki omogoča zagon programov v izoliranem in varovanem navideznem okolju, ločenem od preostalega sistema.

Dolga leta so uporabniki za Windows uporabljali orodja, kot je Sandboxie, ki spremlja vse spremembe, ki jih program izvede, ter jih ob izhodu razveljavi, s čimer povrne sistem v prvotno stanje. Za še višjo stopnjo izolacije pa so se uporabljali navidezni stroji (z VirtualBox ali z vgrajeno tehnologijo Microsoft Hyper-V), v katere smo ločeno namestili operacijski sistem in lahko nevarne programe poganjali tam – z možnostjo, da stanje navideznega sistema kadarkoli povrnemo v začetno. Ta pristop je zelo zanesljiv, vendar zahteva več znanja ter časa za vzpostavitev in vzdrževanje dodatnega sistema.

Kaj je Windows peskovnik (Windows Sandbox)?

Windows peskovnik je izolirano namizno okolje z operacijskim sistemom Windows, namenjeno varnemu preizkušanju programov in datotek. Teče kot začasni lahki virtualni stroj znotraj vašega sistema. Uporablja strojno pospešeno virtualizacijo (Hyper-V) za popolno ločitev od gostiteljskega operacijskega sistema. Vsakič, ko ga zaženemo, dobimo povsem čist in prazen sistem, ki se vede kot na novo nameščen Windows, vse nameščene programe in datoteke v peskovniku pa ob zaprtju nepovratno izgubimo. Peskovnik je del Windows 10/11 (na voljo v izdajah Pro, Enterprise in Education, ne pa v Home) in ne zahteva nobene dodatne licence ali namestitve drugega operacijskega sistema.

Če imate nameščeno različico Windows 10/11 Home, si jo lahko naknadno spremenite v podprto različico s skripto, ki jo najdete na spletu (massgrave), ali z zakupom nove licence.

Kako vklopiti in uporabljati Windows peskovnik (Sandbox)?

Za uporabo peskovnika potrebujete združljiv sistem. To je Windows 10 (1903 ali novejši) oziroma Windows 11 z licenco Pro, Enterprise ali Education ter podporo za virtualizacijo v strojni opremi. Sodobni procesorji Intel/AMD večinoma podpirajo tehnologije virtualizacije (Intel VT-x, AMD-V itd.), vendar je pogosto treba to možnost omogočiti v nastavitvah BIOS/UEFI.

1. V Windows 10/11 odprite nadzorno ploščo oz. iskalnik v meniju Start in poiščite »Vklop ali izklop funkcij sistema Windows« (Turn Windows features on or off). Na seznamu funkcij najdite Windows Sandbox (Windows peskovnik) in označite potrditveno polje. Kliknite V redu in po pozivu znova zaženite računalnik, da se funkcija namesti.
2. Po prijavi v Windows odprite Start meni in vpišite Windows Sandbox. Kliknite ikono Windows Sandbox. Sistem se bo nekaj sekund nalagal, nato pa se odpre okno z virtualnim namizjem Windows. Videli boste namizje, podobno vašemu, vendar gre za ločen začasni sistem s privzeto nastavitvijo (lahko opazite, da so na primer nameščeni le privzeti programi in brskalnik Edge).
3. V peskovniku lahko zdaj nameščate programe ali odpirate datoteke skoraj povsem enako kot v običajnem sistemu. Namestite lahko sumljivo aplikacijo in jo preizkusite. Tudi če vsebuje virus, bo ta ostal znotraj peskovnika. Sistem v peskovniku ima privzeto omogočen dostop do interneta (prek navideznega omrežja), kar olajša prenos datotek ali posodobitev, vendar bodite previdni, saj ima lahko škodljiva koda tako dostop do omrežja. Datoteke med gostiteljem in peskovnikom lahko izmenjujete z odložiščem. Na primer, na glavnem sistemu kopirajte datoteko (Ctrl+C) in jo znotraj peskovnika prilepite (Ctrl+V). Naprednejši uporabniki lahko s pripravo konfiguracijske .wsb datoteke omogočijo tudi samodejno mapiranje posameznih map gostitelja v peskovnik.
4. Ko končate s testiranjem, preprosto zaprite okno Windows peskovnika (klik na X kot običajno). Pojavilo se bo opozorilo, da bo celotna vsebina peskovnika izbrisana. Potrdite z V redu. Virtualni sistem se bo ugasnil in vse, kar je bilo v njem, bo trajno izbrisano. Na vašem glavnem Windowsu bo ostalo točno takšno stanje, kot je bilo pred zagonom peskovnika, kot da se nič ni zgodilo. Če boste pozneje znova zagnali peskovnik, boste dobili povsem novo instanco sistema Windows, brez sledi prejšnje seje.

Če želite v peskovniku zadržati kak rezultat (preneseno datoteko), morate pred zaprtjem poskrbeti, da jo kopirate iz peskovnika na gostitelja (recimo prek odložišča ali v skupno mapo). V nasprotnem primeru bodo podatki izgubljeni, ko zaprete okno peskovnika.

Windows peskovnik, Sandboxie, VirtualBox ali …?

Windows peskovnik ni edina rešitev za izolacijo zlonamerne ali nezaželene programske opreme.

Orodje Sandboxie deluje na ravni operacijskega sistema. Aplikacijo zažene znotraj peskovnika tako, da prestreza njen dostop do sistema. Vse spremembe, ki jih program izvede (npr. zapisi v registre, datoteke), Sandboxie preusmeri v izolirano območje in jih ob zaprtju razveljavi, s čimer sistem povrne v prvotno stanje. Prednost Sandboxieja je, da je nezahteven in deluje tudi na Windows Home (ter starejših verzijah Windowsa), omogoča pa izolacijo posameznih programov brez poganjanja celotnega sistema. Poleg tega lahko v Sandboxie okolju vzporedno teče več programov oziroma več ločenih peskovnikov.

Popoln navidezni stroj (VM), bodisi prek odprtokodnega programa VirtualBox, VMware ali vgrajenega Hyper-V, pomeni, da ročno ustvarimo virtualni računalnik in vanj namestimo celoten operacijski sistem (Windows ali Linux). Takšna rešitev zagotavlja popolno izolacijo, saj VM teče ločeno od gostitelja in ima svoj navidezni disk, strojno opremo in ostalo. Poleg tega ima uporabnik popoln nadzor nad virtualnim sistemom: lahko ga ohrani vključenega dalj časa, nanj trajno namešča programsko opremo, spreminja nastavitve …

Ključna prednost VM-ja je možnost shranjevanja stanja. V VirtualBox/VMware/Hyper-V lahko ustvarite snapshot (kontrolno točko) sistema in se kasneje nanjo vrnete, kar je zelo uporabno pri testiranju. Če na primer niste prepričani v kredibilnost neznanega programa, lahko pred namestitvijo posnamete stanje, po koncu namestitve/testa pa sistem povrnete na shranjeno točko.

Druga prednost pravih navideznih strojev je, da imate lahko več navideznih strojev hkrati (če imate dovolj virov) in v njih zaženete različne sisteme, na primer drugo različico Windowsa ali pa Linuxa – medtem ko Windows peskovnik vedno zažene enako verzijo Windowsa, kot je na gostitelju.

Seveda pa imajo VM-ji tudi slabosti. Potreben je dodaten prostor na disku (več gigabajtov za vsak VM) in več pomnilnika (VM si rezervira na primer 4 ali več GB RAM-a, ki jih vzame gostitelju). Tudi nastavitev je daljša, saj morate najprej ročno namestiti operacijski sistem in poskrbeti za njegove posodobitve ter vzdrževanje, medtem ko Windows peskovnik vse to opravi samodejno v nekaj sekundah.

Za kratkotrajno testiranje ali analizo sumljivih datotek je zato Windows peskovnik precej bolj praktičen, ker ga lahko kadarkoli prižgete in ugasnete brez velikega vnaprejšnjega dela. Če pa želite daljše poganjanje programa, trajnejše spremembe ali poganjati recimo celoten strežnik v izolaciji, potem polni navidezni stroj ostaja boljša rešitev.

Hyper-V in trajni testni sistemi

Windows peskovnik cilja na čim hitrejše in enostavnejše preizkušanje v izolaciji, kar pa pomeni, da ni primeren za vse situacije. Naprednejši uporabniki, ki že imajo Windows 10/11 Pro ali Enterprise, lahko izkoristijo vgrajeno platformo Hyper-V in si ročno ustvarijo lastne navidezne stroje za testiranje.

To je v bistvu podoben pristop kot peskovnik, a z več možnosti prilagoditve v zameno za nekoliko več nastavitev na začetku. Hyper-V omogoča, da na svojem računalniku ustvarite enega ali več VM-jev. Vsak od njih je lahko popolnoma ločen od omrežja in drugih računalnikov (če tako določite), kar je idealno za varno preizkušanje zelo nevarnih programov brez internetne povezave. V konzoli Hyper-V Manager lahko za vsak VM nastavljate navidezno strojno opremo (CPU, RAM, disk, omrežne vmesnike …) ter na primer izberete, da navidezni mrežni vmesnik ni povezan v zunanje omrežje, s čimer imate izolirano zaprto okolje.

Ko ustvarite nov VM, namestite želeni operacijski sistem (lahko znova Windows ali katerega drugega). Za to boste potrebovali namestitveno ISO datoteko ali predpripravljeno sliko sistema. Po namestitvi obravnavate VM kot ločen računalnik. Lahko ga prižgete ali ugasnete po potrebi, vsi podatki v njem pa so ohranjeni, dokler jih sami ne izbrišete. To pomeni, da lahko na tak testni VM namestite celo zbirko programov in jih preizkušate skozi daljše obdobje, ne da bi jih bilo treba na novo nameščati ob vsakem zagonu (kot pri Windows peskovniku).

Posebna prednost uporabe Hyper-V (ali drugih VM platform) je možnost ustvarjanja kontrolnih točk (checkpoints ali snapshots) stanja sistema. Na primer, ko v VM namestite čist operacijski sistem in osnovne posodobitve, lahko posnamete prvotno stanje. Nato v naslednjih dneh nameščate in preizkušate različne programe. Če se kateri izkaže za škodljivega ali povzroči težave, lahko enostavno povrnete VM nazaj na čisto stanje in tako sistem »očistite« posledic testiranja.

To je podobno kot pri uporabi peskovnika, le da imate tukaj možnost izbire trenutka za obnovitev in lahko hranite več različnih stanj (eno z osnovno konfiguracijo, drugo po namestitvi določenih posodobitev …). Seveda pa takšna fleksibilnost pomeni, da morate VM-ju nameniti dovolj prostora na disku (posnetki zasedejo dodaten prostor) in spremljati posodobitve sistema znotraj VM-ja, saj ta ne bo samodejno posodabljal sistema ob vsakem zagonu kot Windows peskovnik.

V praksi si mnogi napredni uporabniki postavijo celotne virtualne laboratorije. Na zmogljivejšem računalniku ali strežniku lahko teče več navideznih strojev hkrati, na primer eden z Windows 10 brez omrežja za testiranje virusov, drugi z Windows Server za preizkus strežniških nastavitev, tretji z Linuxom za razvoj in podobno.

Za vzpostavitev Hyper-V okolja v Windows Pro je potreben le vklop funkcije Hyper-V (podobno kot smo opisali za Windows Sandbox) in zagon orodja Hyper-V Manager, v katerem kreirate nova virtualna okolja. Postopek namestitve operacijskega sistema v tem okolju je enak kot na fizičnem računalniku.

Izberite sebi ustrezno orodje

Windows peskovnik je odlično orodje za hitro in enostavno preizkušanje programov v varnem okolju, zlasti kadar želimo nekaj preizkusiti enkrat ali občasno in nočemo zapravljati časa z vzpostavitvijo celotnega VM-ja. Za mnoge IT strokovnjake je postal nepogrešljiv pri preverjanju neznanih priponk, sumljive programske opreme ali ob obisku tveganih spletnih strani. Preprosto ga zaženejo, opravijo, kar je potrebno, in zaprejo, brez skrbi, da bi kaj »ušlo« na produkcijski sistem. Po drugi strani pa klasični navidezni stroji (Hyper-V, VirtualBox …) ostajajo pomembni za bolj poglobljeno testiranje in razvoj, kjer potrebujemo dlje obstojen sistem, različna okolja ali možnost posnetkov stanja.

Obstaja kaj podobnega za Linux uporabnike?

To me je prešinilo, ko sem iz službenega računalnika, kjer sem primoran uporabljati Windows, skočil domov na moj namizni računalnik, kjer uporabljam Linux, bolj natančneje TUXEDO OS, ki je privzeto nameščen na vseh Tuxedo računalnikih. Naletel sem na več rešitev in tudi vse testiral. Priznam pa, da še nisem odločen, kateri je za moj nivo znanja in scenarije najboljši.

Medtem ko Microsoftov peskovnik deluje kot izoliran otok, ki ga ob vsakem zagonu zgradijo na novo, nam Linux ponuja celo paleto orodij, ki so bolj modularna, hitrejša in pogosto precej bolj integrirana v naše vsakdanje delo. Namesto ene same rešitve imamo na voljo različne stopnje izolacije, odvisno od tega, kako globoko v pesek želimo zakopati sumljivo aplikacijo.

Flatpak in Flatseal

Za uporabnika, ki je navajen preprostosti Windows Sandboxa, je morda najbolj naraven prvi korak uporaba tehnologije Flatpak. V TUXEDO OS lahko programe nameščaš prek trgovine Discover, kar pomeni, da pasivno že uporabljaš peskovnik, vendar se tega morda niti ne zavedaš. Flatpak aplikacije so namreč že v zasnovi ločene od jedra sistema. Da bi to izolacijo resnično ukrotili, nastopi orodje Flatseal. Z njim lahko s preprostimi stikali določite, ali se sme določen program povezati v splet, ali vidi vaše osebne dokumente in ali ima dostop do spletne kamere.

Firejail

Včasih pa želimo izolirati klasične programe, ki niso del Flatpak ekosistema. Tukaj v igro stopi Firejail, ki v svetu Linuxa prevzema vlogo, podobno tisti, ki jo je imel Sandboxie v Windowsih. Firejail uporablja varnostne funkcije Linux jedra, da okoli aplikacije zgradi nevidno kletko. Ko program zaženete skozi to orodje, mu preprosto odrežete dostop do tistih delov sistema, ki jih ne potrebuje za delo. Če bi bila takšna aplikacija okužena, bi zlonamerna koda hitro ugotovila, da je ujeta v digitalnem mehurčku, kjer nima dostopa do vaših gesel ali zasebnih map. Vse to se zgodi z zanemarljivim vplivom na hitrost delovanja, kar je velika prednost pred težkimi virtualnimi stroji.

Distrobox

Za tiste, ki potrebujete nekaj več kot le osnovno izolacijo, a še vedno ne želite žrtvovati udobja, je Distrobox prava mala škatlica presenečenja. Predstavljajte si, da znotraj svojega stabilnega Linux okolja v trenutku ustvarite vsebnik katere koli druge distribucije, recimo Arch Linuxa ali Fedore. To okolje je popolnoma ločeno od vaših sistemskih nastavitev, a hkrati tako dobro integrirano, da lahko aplikacijo iz tega peskovnika “pripnete” neposredno v svoj KDE meni. To je idealna rešitev za testiranje razvojnih orodij ali programov, za katere niste prepričani, kako bodo vplivali na vašo knjižnico sistemskih datotek. Ko okolja ne potrebujete več, ga z enim ukazom izbrišete, vaš glavni sistem pa ostane nedotaknjen in čist.

KVM, Quickemu, Virt-manager

Kadar pa je v igri resna nevarnost ali pa potrebujete popolnoma ločen operacijski sistem, pride na vrsto KVM – tehnologija, ki Linux spremeni v vrhunsko platformo za virtualizacijo. Namesto Hyper-V, ki ga pozna Windows, Linux uporablja neposredno povezavo s strojno opremo, kar zagotavlja surovo hitrost. Za tiste, ki želijo izkušnjo, podobno Windows Sandboxu, je tu Quickemu. To orodje omogoča, da v rekordnem času prenesete in zaženete kateri koli operacijski sistem v izoliranem oknu. Če pa iščete bolj laboratorijski pristop s shranjevanjem stanj, kot so “snapshots”, je Virt-manager nepogrešljiv sopotnik. Omogoča vam, da posnamete stanje sistema pred nevarnim eksperimentom in se po morebitnem kaosu z enim klikom vrnete v varno preteklost.

Linux peskovniki morda zahtevajo malce več začetnega raziskovanja, a v zameno ponujajo natančnost in moč, ki ju težko najdeš drugje.