Основы компьютерной безопасности: Песочница
от crt32
| 1 |
Введение
Из этой статьи вы узнаете- Как работает песочница
- Как работать с программой Sandboxie
Песочница (англ.: Sandbox) - это ограниченная среда в вашей системе для исполнения гостевых программ без доступа к главной операционной системе.
Программа, запущенная в песочнице "думает", что находится в нормальной среде Windows, но любой доступ к файлам перехватывается и выполняется в изолированном пространстве. Таким образом предотвращается доступ вредоносных программ к системным файлам, а также повреждение других ресурсов компьютера.
Sandboxie - это программа, которая работает по принципу песочницы для безопасного исполнения посторонних программ на вашем компьютере. В этом руководстве вы узнаете, как работать с программой Sandboxie.Сама программа является условно бесплатной. Её можно скачать здесь:
1. Что такое Sandboxie и для чего вам нужна эта программа?
Sandboxie - это программа-песочница для среды Windows. Песочница - это закрытое для доступа извне виртуальное пространство, в котором можно работать с программным обеспечением без изменения системных файлов.
Для этого Sandboxie постоянно следит за запущенными в песочнице программами и переадресует всю их работу с файлами в специальную виртуальную файловую систему. Все изменения файлов этими программами действуют таким образом только в рамках песочницы, а сами файлы на диске остаются без изменений.
Пример: вы открываете текстовой редактор вне песочницы, пишете в нём текст: "Hello, world!" и сохраняете как файл C:/test.txt. Затем вы запускаете текстовой редактор в песочнице, открываете в нём файл C:/test.txt и изменяете текст на "xxxxxx". Внутри песочницы в файле C:/test.txt теперь написано "xxxxxx", а вне песочницы - всё ещё "Hello, world!"
Точно также Sandboxie работает с системным реестром. Вирусы, трояны и тому подобные вредоносные программы являются опасными потому, что "проникают в систему". Они, к примеру, могут изменять системные файлы, вследствие чего при новом запуске компьютера исполняется троянская программа, или просто удаляют без разбора какие-нибудь файлы.
Особенно троянские программы часто настолько изменяют систему, что пользователь не может видеть свои файлы во время работы операционной системы.
Но если такие программы исполняются в песочнице, то их вредоносное действие сводится к нулю, поскольку все изменения действуют только в рамках песочницы, а сами файлы остаются без изменений.
Однако, если вы запускаете в песочнице "заражённые" файлы, то вы, конечно, вместе с ними каждый раз запускаете и троянскую программу или вирус. Поэтому важно регулярно очищать содержимое песочницы. Таким образом удаляются все изменения файлов, и файлы в песочнице снова становятся идентичными оригинальным файлам.
Поэтому песочница не защищает вас от программ-кейлоггеров, которые продолжают работать и беспрепятственно посылать ваши данные в интернет. Только перезапуск компьютера и удаление содержимого песочницы очистит вашу систему от таких программ. Поэтому, несмотря ни на что, вам не обойтись без актуальной версии антивируса и брандмауэра.
Примечание: Sandboxie в стандартном варианте блокирует некоторые функции доступа к файлам на низком уровне, которые, с одной стороны, препятствуют инсталляции сервисов Windows и драйверов, а с другой стороны - кладyт конец проискам программ-кейлоггеров. Однако это не гарантирует стопроцентной защиты.
2. Базовые функции Sandboxie
Хотя программой Sandboxie можно пользоваться бесплатно, лучше купить платную версию (она стоит всего €26), так как в бесплатной версии можно использовать только одну песочницу и к тому же через 30 дней появляется так называемый Nagscreen (окошко для отображения информации о незарегистрированной версии).
2.1 Главное окно Sandboxie
 |
Скрин 1: Programs  |
|
Скрин 2: Files and Folder  |
Эти окошки можно вызвать через View->Programs и через View->Files and Folders.
В окошке Programs (Скрин 1) перечислены все программы, которые в данный момент работают в песочнице. Особенно после того, как вы запустили какую-то подозрительную программу в песочнице, нужно заглянуть сюда и проверить, не запустилась ли заодно ещё какая-нибудь сомнительная программа. Путём клик правой кнопкой->Terminate Program можно закрывать отдельные программы.
В окошке Files and Folders (Скрин 2) можно увидеть все файлы, которые были либо созданы, либо изменены в песочнице. Поскольку таких файлов обычно не так много (обычно только файлы из кэша браузера и прочие временные файлы), то здесь тоже можно вручную проверить, были ли созданы или изменены какие-то файлы, которым здесь не место.
Файлы, которые вы хотите сохранить, можно скопировать в файловую систему путём клик правой кнопкой->Recover. В этом случае эти файлы останутся на компьютере, даже если вы их удалите в песочнице. В противном случае эти данные не сохранятся при удалении! ( подробнее об этом мы расскажем в разделе "Как правильно работать с программами в Sandboxie").
2.2 Контекстное меню Sandboxie
|
Скрин 3: Контекстное меню  |
Run Sandboxed: Здесь вы можете запускать программы в песочнице. Одновременно эта функция присутствует в контекстном меню проводника или в другой программе управления файлами, которую вы используете. (Kлик правой кнопкой на файл запуска программы-> "Run Sandboxed").
Quick Recovery: Показывает все файлы, которые были созданы или изменены в Quick-Recovery по прописанным здесь путям. Подробнее об этом мы расскажем ниже.
Delete Contents: Этой опцией вы можете удалить все файлы из песочницы и вернуться к исходному положению. Перед этим у вас откроется диалог Quick Recovery, в котором вы можете сохранить нужные файлы.
Sandbox Settings: Открывает настройки песочницы. Подробнее об этом позже.
Значения остальных функций, я думаю, можно понять из их названий. Важнейшие из них мы ещё обсудим в дальнейшем.
3. Как правильно работать с программами в Sandboxie
Перед тем как запускать программы в песочнице, нужно знать, как правильно конфигурировать Sandboxie для различных программ. Если этого не сделать, возможны проблемы, а также потеря данных.
3.1 Какие программы должны постоянно работать в песочнице?
В целом, это все программы, которые имеют выход в интернет и представляют собой плацдарм для возможных сетевых атак. Т.е браузер, почтовые программы, программы обмена сообщениями и т.д.
Для полной надёжности с покерным клиентом вам также следует работать в песочнице. Однако, поскольку многие покеррумы принимают повышенные меры предосторожности против программ-ботов и тому подобных, которые работают по принципу троянов, это может привести к сбою системы. Здесь вам надо просто попробовать, в каком покерруме это работает, а в каком нет.
Ещё одной причиной для работы с покерным клиентом в песочнице является то, что таким образом вы лучше всего изолируете его от остальной системы.
Исполнимые файлы, полученные из сомнительных источников, вам также следует запускать в песочнице. Вне песочницы их можно запускать только в том случае, если вы абсолютно уверены в надёжности соответствующей программы.
Для большей надёжности вам следует так же поступать и со всеми скачанными файлами, например, с WinRAR-архивами, музыкальными файлами, картинками и т.п. Причина в том, что программы, предназначенные для работы с этими файлами, могут быть уязвимыми с точки зрения компьютерной безопасности и могут исполнять вредоносный программный код, возможно содержащийся в этих файлах, что служит причиной проникновения троянов в систему.
Например, недавно были обнаружены уязвимые места в программах Фотоальбом Windows и Winamp.
3.2 Конфигурация Sandboxie
Для постоянного запуска программы в песочнице есть две возможности.
Во-первых вы можете изменить ярлык на рабочем столе или в меню "Пуск" таким образом, чтобы программа запускалась в песочнице. Вам нужно лишь в свойствах ярлыка в пути к исполняемому файлу дописать перед самим путём: C:/Programs/Sandboxie/Start.exe .
Например, если путь в свойствах ярлыка скайпа указан как C:/Programs/Skype/Phone/Skype.exe , то из него надо сделать C:/Programs/Sandboxie/Start.exe C:/Programs/Skype/Phone/Skype.exe.
Если у вас Sandboxie установлен не в C:/Programs/Sandboxie, то вам нужно написать соответствующий путь.
Внимание: таким способом программу можно запустить в песочнице, только запустив соответствующий ярлык.
Более простым является второй способ. Однако он доступен только в зарегистрированной версии. Вы заходите в настройки песочницы (см. пункт 2.2) и открываете Start->Forced Programs.
Тут вы можете создать список всех программ, которые при каждом запуске автоматически будут запускаться только в песочнице. Если программа один раз внесена в этот список, то вам больше не нужно создавать дополнительных ярлыков.
|
Скрин 4: Примерная конфигурация Forced Programs  |
3.3 Автоматическое сохранение настроек и скачанных файлов
До сих пор всё просто. Теперь вы можете запускать "опасные" программы в песочнице. Однако проблемы начинаются тогда, когда вы удалите содержимое песочницы. Тогда пропадут все настройки и скачанные файлы.
Здесь вам поможет функция Quick Recovery, которую мы уже упоминали выше. Её можно конфигурировать в настройках под Recovery->Quick Recovery.
|
Скрин 5: Quick Recovery  |
Здесь вам нужно прописать все пути к папкам, в которые вы обычно скачиваете файлы. У меня это, например, папка /Temp на каждом логическом диске, а также некоторые другие.
Внесённые в этот список папки выполняют следующие две задачи. Во-первых, они (и только они) видны в диалогах Quick Recovery и Delete Sandbox, где отдельные файлы можно удобно скопировать основную систему.
Во-вторых, существует функция Immediate Recovery, которая находится в настройках прямо под Quick Recovery. Как только создаётся новый файл в одной из внесённых в список папок, эта функция открывает диалог, с помощью которого вы можете скопировать эти файлы в главную систему. Это особенно удобно, потому что вам не надо "гоняться" за скачанными файлами. Вы можете (но не обязаны) их сразу скопировать в главную систему.
Кроме того, в конфигурации этой функции есть фильтр, который служит для того, чтобы текущие закачки не действовали вам на нервы каждые 100Кб. Этим фильтром начатые закачки исключаются из функции Immediate Recovery и напоминают о себе только тогда, когда закачкa завершилась.
Стандартная конфигурация подходит ко всем известным браузерам и менеджерам закачек.
|
Скрин 6: Закачка логотипа PokerStrategy.com только что закончилась  |
Теоретически, вы могли бы добавить к путям в Quick Recovery все настройки программ и тому подобные вещи, которые вы бы хотели сделать постоянными. Тогда при каждой новой настройке появлялся бы диалог Immediate Recovery и ваши настройки сохранялись бы постоянно.
Тот, кто любит много кликать, может выбрать этот путь. Я предпочитаю более удобный способ: Direct File Access.
Перед тем, как мы его рассмотрим подробнее, давайте заглянем в настройках в раздел Applications , который нам во многом может помочь.
|
Скрин 7: Applications  |
Здесь вы найдёте предварительные настройки для некоторых стандартных программ. Если кликнуть на Add, то вы сможете перенять все настройки для прямого доступа к файлам, а также прямой доступ к системному реестру, после чего все настройки, например, в почтовой программе, будут сохранятся не в песочнице, а прямиком в файловой системе.
Если вы здесь нашли искомую программу, то можете пропустить следующий раздел, так как в нём я объясняю, как добавить сюда программу вручную.
Перейдём теперь к настройке Direct File Access. Вы найдёте её также под Resource Access->File Access.
Здесь находятся списки, в которые вы можете заносить отдельные файлы и папки, к которым определённые или даже все (что не рекомендуется!) программы получают прямой доступ. Это значит, что вместо того чтобы, как было описано выше, производить все изменения в песочнице, все данные вносятся напрямую в главную систему.
|
Скрин 8: Конфигурация для Google Chrome для сохранения настроек и закладок.  |
Перед тем, как приступить к настройкам, вам надо выяснить, какие файлы или папки используются соответствующими программами, чтобы сохранить это в настройках. Это можно выяснить, запустив программу в песочнице и затем посмотрев, какие файлы были созданы или изменены (см. пункт 2.1).
Рекомендуется как можно реже разрешать прямой доступ к файлам, так как это создаёт возможность потенциальной угрозы сетевых атак.
Кроме Direct File Access существует также Full File Access. Это в принципе то же самое, с тем исключением, что права доступа, разрешённые с помощью Full File Access, распространяются и на скачанные в песочнице (иными словами, созданные в песочнице) файлы.
Этой опцией мы вам абсолютно не рекомендуем пользоваться, к тому же она в подавляющем большинстве случаев является совершенно излишней и поэтому её следует избегать.
Вам следует обратить внимание всего на одну очень важную вещь!
Если вы это сделаете, то для чего вам нужна песочница? Вы и так открываете все двери и ворота для любых троянов и вирусов, чтобы они без проблем могли заразить вашу систему.
Даже прямой доступ к неисполняемым файлам может (в редких случаях) скомпрометировать вашу систему, т.е. здесь тоже нужно разрешать только необходимое.
- Не следует злоупотреблять этими функциями для удобного скачивания файлов, поскольку созданные файлы могут быть исполняемыми.
- Кроме того файлы/папки должны быть доступны только для одной программы и никогда для всех сразу.
3.4 Использование нескольких песочниц
Если вы пользуетесь зарегистрированной версией, то у вас есть возможность создания больше одной песочницы. Это, хотя и не является необходимым, всё же обеспечивает повышенную безопасность, прежде всего для программ, которые являются излюбленной целью сетевых атак (например, браузер).
Другая дополнительная возможность состоит в том, чтобы создать отдельную песочницу только для исполнения скачанных файлов. Таким образом, данные, возможно ещё находящиеся в песочнице, не будут повреждены в том случае, если вы, несмотря на наличие антивирусной программы, всё же подхватите какой-нибудь вирус. Здесь вам нужно будет самим попробовать и выбрать наиболее подходящий для вас вариант.
Поскольку Sandboxie обладает некоторыми функциями, которые изолируют отдельные песочницы друг от друга, имеет смысл работать с покерным клиентом также в отдельной песочнице. Этим создаётся дополнительное препятствие для того, чтобы троян, находящийся в другой песочнице, смог проникнуть к данным вашего аккаунта в покерруме. Хотя Sandboxie не гарантирует тут стопроцентной защиты, но в любом случе обеспечивает повышенную безопасность.
4. Удаление содержимого песочницы
Если вы не чистили свою песочницу в течении 7 дней, то Sandboxie напомнит вам о том, что это пора сделать. Кроме того в настройках есть опция автоматического удаления содержимого песочницы, если в ней больше не работает ни одна программа (тогда откроется ниже приведённый диалог).
Лично для меня удобнее всего оказалось чистить песочницу вручную перед каждым отключением компьютера.
|
Bild 9: Delete Sandbox  |
Показанный здесь диалог Delete Sandbox - это не что иное, как диалог Quick Recovery с кнопкой Delete Sandbox внизу.
После того, как вы кликните на Delete Sandbox, все файлы в песочнице будут удалены. Поэтому перед этим вам следует убедиться, что вы скопировали все нужные файлы в главную систему.
В первые дни использования Sandboxie рекомендуется внимательно просматривать вид Files and Folders (см. пункт 2.1), чтобы не забыть нужные файлы, и после этого соответствующим образом изменить настройки.
5. Заключение
Надеюсь, что прочитав это руководство, вам будет проще работать с Sandboxie. Вопросы, обратную связь и предложения по улучшению можно постировать на форуме: Топик.
| Ссылки |
||||
|
||||
| 1 |
Следующая статья:
#1
master114, 28.05.09 08:52
Зачем это???????Давайте обсудим еще антивиры
#2
kosmonavty, 31.05.09 00:13
спасибо! А вещь дейсвительно нужная.#3
Merlion, 31.05.09 16:50
Попробовал на Пати. HoldemManager руки не импортирует и статистику не выводит (((#4
keksi4ek, 31.05.09 18:07
совсем не каждая атака происходит через изменение системных и др. файлов, вопрос: чем эта программа ценней антивируса? остается открытым#5
Slaven, 31.05.09 18:15
Windows 2000, XP, 2003, Vista; 32-bit onlyc моей 64х не потестить((
#6
sdsm, 31.05.09 20:44
Очень полезная программа, для тех, кто не особо разбирается в компьютере. Для профи которые частенько эксперементируют с операционками. Для тех кто любит много лазить в инете (в разных не скромных местах) скачивать всякую всячину и много играть в игрушки(пиратские диски) на компе где не посредственно идет игра в покер. Золотое правило завидите отдельный комп для покера и никого не допускайте до него.#7
Palienko, 31.05.09 21:31
имхо все-таки это для параноиков#8
Jkolobok, 31.05.09 23:58
ЭТОПЕАР!#6 Отдельный компьютер для игры в покер - как-то в общем случае крутовато. А вот виртуалка, типа virtualbox - самое оно.
#9
mcompote, 05.06.09 12:22
согласен, я играю из-под Linux а вней в VirtualBox запускаю под виндой патипокер клиент#10
zakaz333, 11.06.09 18:55
Поставить откат системы при каждой перезагрузке и делов то - все вирусяки похрену#11
FAZZERoecm1, 05.09.09 22:11
№10 - как это поставить откать при перезагрузки?#12
DasB1t, 12.12.09 14:08
Бред какой то :/ Обычного антивиря+файрвола вполне и так хватит )#13
Tevia12, 29.12.09 12:30
#12 - полностью согласен, токо антивирь+фаер лицензию и про обновление баз не забываем, и самое главное - не надо в них ничего настраивать, если вы не разбираетесь:) а то и через них можно полный доступ дать и толку от антивиря-фаера не будет.#14
pgati, 23.01.10 12:29
В каспере есть безопасная среда, в которой с тем же успехом можно запускать любые процессы.#15
rover667, 10.02.10 17:17
Практически бесполезная штука.#16
yeahZaraza, 06.05.10 08:28
^^#17
rybaak, 20.05.10 16:54
С таким же успехом можно использовать любую виртуальную машину.Во-первых полно бесплатных.
Во вторых всё работает.
#18
ezroller, 20.07.10 14:43
она лучше антивиря хотя бы тем, что не жрет ресурсов вообще.и по той же причине лучше любой вирт. машины.
и не надо ничего обновлять опять же - это не антивирус с базами, тут другой принцип работы. лично для меня это первая действительно стоящая программа для защиты винды. хотя, если запускать лишь покерный клиент, то я тоже не совсем понимаю от чего тут защищаться. :)
а кто там про откат системы писал еще не встречался с вирусами, которые его выключают, попутно убивая все точки восстановления. в итоге однажды останется с полностью нерабочим компом, который будет пытаться откатывать то, чего нету.
#19
vzzikk, 16.11.10 19:03
программа "презерватив"#20
Revolty, 28.01.11 00:50
сколько денег должно быть на счету чтобы заниматься такой паранойей? так создается больше проблем чем пользы.Ну если очень страшно, то вот советы:
1 нормальный фаирвол с вручную настроенными правилами (запретить всё кроме того что разрешено)
я использую comodo firewall
2 хороший антивирус, с защитой от кейлогеров, переполнения буфера, мониторинг памяти и с функцией песочницы по правому клику (сейчас почти во всех это есть) к примеру в Avast!
3 браузер с возможностью блокировать Javascripts и Flash к примеру Firefox С недавних пор возможность есть и в Chrome (аддон NotScripts)
4 не лезть на порно сайты и не качать софт с варез порталов.
5 кряки запускаем в песочнице антивируса
6 не отключать UAC в windows
7 менеджер паролей с шифрованием базы в AES-128/256
я использую KeePass
8 нормальные пароли - разный регистр, цифры/буквы, от 6 символов. только не слова (подбирается за пару часов на обычном компе)
9 еженедельно проверятся программами типа AVZ и Malwarebytes' Anti-Malware
Вы защищены на 99% (1% это если подведёт прокладка между монитором и стулом)
Защита всегда палка о двух концах, чем больше преград для атаки, тем менее комфорта при работе в такой системе.
Параноики виртуалками не ограничатся))
#21
OldGambler, 01.02.11 04:19
Revolty, 90% игроков из твоего поста поймут лишь "не лезть на порно сайты" ;) Оставшиеся проигнорируют половину советов ("к примеру Avast", "кряки запускаем в песочнице", "не отключать UAC", "менеджер паролей", и особенно "еженедельно проверяться" - вот это уж точно для параноиков, либо для первых 90%).А если по теме, то прога хорошая: работает и не глючит, свои функции выполняет. Полезная: кто отдаёт себе отчёт в целях использования, получит желаемые результаты. Актуальна ли для игроков - по-моему нет.
#22
usun, 07.03.11 02:54
я лично VMWare использую с голой системой с мин установками - только покерные клиенты и тулы к ним.#23
DenisRassvetniy, 26.04.11 04:26
А разве можно покер-клиенты на вирт. машинах запускать, не противоречит ли это правилам? И вообще зачем это надо?#24
Travokur, 06.05.11 07:13
to #23 можно запускать, правилами покер-рума это не запрещено..#25
PokeErika, 07.07.11 20:42
Может запускать два разных клиента одной сети.#26
wolf20633, 11.07.11 08:54
Vmware или VirtualBox - сила.....#27
Zenya47, 11.07.11 14:01
#19 +1)))#28
Travokur, 15.07.11 06:43
to #25 А вот это запрещено правилами покер-рума. За это следует бан аккаунта.