Sandboxie レビュー - 専門家向けのアプリケーション分離

システム サンドボックス ソフトウェアを最後にテストしたのは、XP の時代でした。メモリがうまく機能している場合は ShadowGuard のようなプログラムを覚えています。Deep Freeze は、アクティブなセッション中に変更が加えられる仮想ファイルシステム レイヤーを作成するように設計されており、次の再起動時にこれらがスクラブされてクリーンな状態に戻されます。 .本質的には、選択的な変更が可能な読み取り専用システムです。

アプリケーションについては、より単純なものが必要な場合があります。必要な場合は、Sandboxie がありました。たまたま、私はアプリケーションを実際に試したことはありませんでした。初期の頃でも、取得した後でもありませんでしたが、Windows 10 Home で Windows Defender Application Guard を (失敗して) 試してみたので、このプログラムをもう一度試してみることにしました。 .それでは、Sandboxie のテストとレビューをしましょう。セキュリティの城を作ろう!

セットアップと構成

インストールは複雑ではありませんでしたが、何をしているのかに注意を払う必要があります.セットアップの主要部分は、バックグラウンドですべての魔法を実行する Sandboxie ドライバーです。 Windows 10 Home ボックスでこれを行うのに問題はありませんでした。組み込みの Mitigation Protections 以外のセキュリティ ソフトウェアは使用していません。

最初の実行時に、Sandboxie はシステム上のソフトウェアをスキャンし、さまざまな構成設定を適用するかどうかを尋ねてきました。この時点でこれが何をするのかわかりませんが、ステップを完了させます。 OK をクリックしないという選択肢はありませんが、表示されたエントリを削除することはできます。

チュートリアル

Sandboxie の使い方は簡単ではないため、プログラムはチュートリアルから始まります。アプリケーションがどのように機能するかを理解するために、いくつかの手順に従うよう求められます。私はウィザードがややぎこちないことに気づきました. TL;DR、デスクトップにデフォルトの Web ブラウザーのサンドボックス化されたショートカットが作成されます。それを実行すると、ブラウザー (この場合は Firefox) がサンドボックス化されて起動します。メイン プログラム インターフェイスは一種のタスク マネージャーであり、サンドボックス化されたすべてのアプリケーションがコンテナーごとにグループ化されて表示されます (後でさまざまなサンドボックスを構成できます)。プログラムが Sandboxie の下で実行されている場合、タイトルの [#] 接頭辞と接尾辞 (すべてのプログラムにタイトルが表示されるわけではないため、簡単ではありません) と、アプリケーション ウィンドウにマウスを置いたときの黄色の境界線で識別できます。

砂遊び

プログラムを使い始めてすぐに、Immediate Recovery という機能があることを知りました。事前定義されたフォルダーの 1 つにファイルをコピーすると、それらをサンドボックスから実際のシステムに「復元」できます。デフォルトでは、Sandboxie は内部で実行されているアプリケーションを外部のファイルシステムから分離するため、それらを閉じるとすべての変更が失われます (ダウンロードなど)。これは、永続性がなく、再起動すると変更が失われる Linux ライブ セッションでブラウザーを実行するようなものです。 Linux が何かわからない場合は、最後の文を無視してください。

閉じるとは、サンドボックス化されたセッション内にファイルを保持することを意味します。あまり直感的ではありません。

デフォルトでは、デフォルト ブラウザのショートカットがありますが、右クリックで任意のプログラムを起動できます。次に、目的の (サンド) ボックスを選択するオプションが表示されます。

プログラムはうまく動作しました。たとえば、サンドボックスで実行している間は、Firefox でも Chrome でも、閲覧履歴やブックマークを見ることができませんでした。また、パフォーマンスの低下や、プラグインや拡張機能、メディア再生との競合にも気付きませんでした。しかし、Chrome ではタイトルがないため、マウス カーソルを合わせない限り、サンドボックスで実行されていることを示すことはありません。

設定とその他の設定

Sandboxie の構成を微調整する方法は複数あることがすぐにわかりました。サンドボックス内にリストされているプロセスを右クリックすると、その動作を変更できます。ただし、これは現在のセッションでのみ有効です。次に、グローバル設定もあります。これは少し紛らわしいです。

サンドボックスごとのグローバル設定を見つけるのは少し大変でしたが、見つけました。次に、ルック アンド フィール、ファイルを回復または削除する方法と場合、プログラムのグループ化 (Firefox または Chromium ベースのブラウザーなど)、サンドボックスへのファイルの移行など、微調整できるオプションの非常に長いリストがあります。 .説明で not 形式が使用されているため、一部のオプションは非常に扱いにくいことがわかりました。したがって、実際に何が起こるかを理解するには、頭脳を逆転させる必要があります。

次に、制限とアクセス権の長く詳細なリストがあります。サンドボックス アプリケーションが持つリソースのタイプを (その特定のボックスに対して) 決定できます。読み書きできるファイル、アクセスできないファイル、ネットワーク ポートなど、非常に細かく調整されたアクセス許可のリストを使用できます。繰り返しますが、Linux の例えを使用すると、これは AppArmor または SELinux ルールを記述することに似ており、簡単な作業ではありません。セキュリティを侵害したり、アプリケーションやシステムを破壊したりすることなく、ここで変更を加えることができるようにするには、システムの内部構造を十分に理解する必要があります。はい、注意しないと、Windows から締め出されてしまう可能性があります。たとえば、以下にリストされている DLL は、通常のユーザーにとって何を意味しますか?

レジストリ、IPC、または COM を見始めると、事態はさらに複雑になります。これは本当にオタクの領域であり、典型的な Windows プロセス メモリ マッピングが何であるかを完全に理解していない限り、このセクションを見るべきではありません。

アプリケーションオプションは、追加または削除できるさまざまなデフォルトルールを含む、カテゴリの非常に長いリストに開きます.ブラウザー、電子メール リーダー、PDF ソフトウェア、およびその他の多くのアプリケーションとツールを個別に構成できます。繰り返しになりますが、多くのルール/説明が理解しにくいことがわかりました。たとえば、ルールが書かれているが、兆候がない場合、それはブロックされていることを意味しますか?それとも、構成できる単なるルールですか?または即時リカバリのデフォルトの除外。どういう意味ですか？復元されるファイルの種類または場所は?それとも除外されますか?

また、ini ファイルを使用してプログラム構成を編集するオプションもあります。これは少し古臭いですが、スピードとこっけいなアクションが必要な人のために用意されています。全体として、構成要素には多くの要望が残されているだけでなく、それがいかに複雑であるかが強調されています。

他の方法と比べてどうですか?

App Guard の記事で尋ねたのと同じ質問をしています。既にサンドボックス機能を備えたブラウザーを使用している場合、Exploit Protection を使用している場合、Noscript などの拡張機能を使用している場合、さらに標準 (制限付き) アカウントで実行している可能性がある場合、次のようなものにどれだけの価値があるかこれ?

最初に頭に浮かぶのは、コードの任意の実行ですが、上記のすべてがその適用可能性を確実に制限しています。 2 番目の重要な点は、サンドボックス モデルがどこで壊れるかということです。その答えはユーザーです。実際、テストでは、ファイルをサンドボックス化されていないフォルダーに保存するオプションがあることに気付きましたが、そこに問題があります.不良ファイルの通過を許可すると、最終的には無制限に使用することになります。おそらく、分離されたセッションでは何の損害も与えませんが、特に「悪い」症状に気付かず、安全であると確信した場合は、後でそれが発生します.実際、強力なセキュリティ ツールの存在は、自己保存の感覚をさらに低下させる可能性があります。

次に、サンドボックスの設定をいじって変更を加えるオプションもあります。ファイルとレジストリへのアクセスを追加または削除したり、すぐに復元できるようにフォルダーを定義したりすることができます。十分なスキルがないと、サンドボックスにギャップが生じる可能性があります。これは、(セキュリティ制限の結果として) 実際にユーザビリティの問題があり、それを回避しようとするとさらに明白になります。これは Sandboxie の問題ではなく、一般的な問題です。これはソフトウェア セキュリティのパラドックスです。ソフトウェアを最大限に活用するスキルがない場合は、その恩恵を受けられない可能性があります。

これが、EMET または Exploit Guard が非常に価値があると私が考える理由です。適用された軽減策の結果として、場合によっては使用に支障をきたす可能性があります (非常にまれですが可能性があります) が、これはソフトウェアの良し悪しを分類せずに行われます。代わりに、これははるかに低いレベルで行われます-良いまたは悪い命令またはメモリアクセス。 Exploit Guard は、悪いソフトウェアと悪い方法で書かれた良いソフトウェアを区別しません。

同様に、標準アカウントを使用する場合、できることは限られています。そして、これはランダムなhax0rがあなたをpwnしようとしたり、そのようなものとは何の関係もありません.これはそれよりもはるかに初歩的なことです。システム設定の多くを変更する権限はありません。限目。故意か過失か、それとも何であろうと関係ありません。不可能です。

サンドボクシーに戻ります。デフォルトでは、それは多くの優れた機能を実行します。いじらないのであれば、適切なセキュリティ層を追加する必要があります。ただし、Sandboxie はサンドボックス内での動作を制限せず、コードの実行やサンドボックスからのデータのコピーを妨げません。さらに、設定をいじったり変更したりすることができるため、分離メカニズムに穴が開く可能性があります。私がテストできたことによると、Sandboxie はインターネットに接続するプログラムをシステムから分離するのに優れていますが、ブラウジング アクティビティなどのインターネット データへのアクセスを制限しません.

結論

Sandboxie は優れた堅牢なプログラムです。これにより、上級ユーザーは、信頼されていないインターネットに接続するソフトウェア用に権限の低いコンテナーを設定する際に高度な柔軟性を得ることができます。モバイル オペレーティング システムの動作に似た方法で、これらのアプリケーションを分離できます。 Sandboxieがこれを何年も前に行ったことを除いて。さらに、分離メカニズムの動作が気に入らない場合、またはプログラムの 1 つが正しく動作または機能していない場合は、Sandboxie コンテキストの外で簡単に実行できます。Bob はあなたのおじです。

ただし、Sandboxie にも制限があります。セットアップと構成は決して簡単ではなく、システム、デバイス、アクセスなどについてしっかりと理解している必要があります。これにより、Sandboxie の使用が負担になる可能性があります。最後に、Sandboxie は特権を制限しますが、それらをサニタイズしません。つまり、実行中のアプリケーションのコンテキスト内でメモリ リークが発生した場合 (つまり、何らかの不正な命令)、Sandboxie はそれを止めません。または、Web からダウンロードしたファイルをコンテナーからコピーできないようにします。つまり、Sandboxie は、自分が行っていることよりも、行っていることを信頼していないときに意味があります。その価値は、アプリケーションをテストすることと、野放しのインターネットをチェックせずにローミングする必要がある場合にあると私は信じています.全体として、推奨され、チェックする価値があります。おそらく将来のバージョンでは、インターフェースが簡素化され、アクセス制御フローがより直感的になるでしょう。気をつけてね。

乾杯。