Windows 10 沙箱新功能“基镜像”:可安全执行任意软件

微软发布 Windows Sandbox 新功能,专用于执行潜在危险应用,令其无法触及主机操作系统或内核。该功能随刚刚发布的 Windows 10 Insider 预览版19H1释出,该版 Windows 10 的前一个版本就是今年10月刚更新过的 Windows 10 1809。

Fast Ring 通道的 Windows Insider 用户安装 19H1 build 18305 后可在特定硬件上试用 Windows Sandbox。

Windows Sandbox 有个简单却有用的主张:执行任意软件而不用担心设备上会驻留潜在恶意软件。该功能可能为用户省下设置虚拟机来评估非受信软件的时间。

Windows Sandbox 中安装的任何软件都只存在于沙箱中,影响不到实体主机。一旦 Windows Sandbox 关闭,所有软件连同其文件和状态统统永久删除。

微软和谷歌早就在其Edge和Chrome浏览器中启用了沙箱限制,用上沙箱技术后攻击者便无法利用其它软件(如 Adobe Flash )中的漏洞往主机操作系统中安装恶意软件了。

该新功能降低了使用硬件虚拟化技术测试潜在恶意软件的门槛,利用微软Hyper-V虚拟机管理程序运行一个独立的内核将 Windows Sandbox 与主机隔开。

但该新功能要求主机基于AMD64架构,且BIOS启用虚拟化功能。操作系统版本也得是 Windows 10 Pro 或 Windows 10 企业版。

微软将 Windows Sandbox 描述为需要操作系统镜像来引导启动的“轻量级虚拟机”。使用该功能的一个主要好处在于,用户无需下载虚拟机通常要求的虚拟硬盘,有已安装 Windows 10 的一个副本即可。

物理主机BIOS中启用虚拟化后,用户需要PowerShell命令暴露出 Windows Sandbox 并勾选之。然后用户就能在开始菜单中看到 Windows Sandbox 了。执行 Windows Sandbox 并将可疑软件从主机复制过去,便可在沙箱中运行该软件并观察会发生什么情况。关掉 Windows Sandbox 限制的应用,该沙箱中的内容也就消失了。

微软指出,当前实现中还有一些缺陷,比如安装后和每个服务事件之后都会有1分钟左右的CPU和磁盘高占用,拖慢开始菜单响应时间,不支持需要重启的安装程序,对高分辨率屏幕和多屏设置支持不够等等。

为实现能处理一些文件修改的干净Windows环境,微软打造了“动态基镜像”,该Windows镜像有可修改文件的新鲜副本,但链向无法修改的操作系统镜像中的文件。

微软工程师解释称:

我们希望总能呈现一个干净的环境,但问题是某些操作系统文件会变。我们的解决方案是构建所谓的‘动态基镜像’:具备可变文件的干净副本,但链向主机上该Windows镜像中不可修改的文件。大部分的文件都是链接(不可变文件),这就是为什么不到100MB就能承载完整操作系统的原因。我们用 Windows Container 术语称此实例为 Windows Sandbox ‘基镜像’。

上一篇:一个使用cve-2017-11882和cve-2018-0802组合漏洞的恶意文档分析

下一篇:封锁白帽子 放纵黑帽子:GDPR丑陋的一面