Песочница - это важный метод безопасности, который изолирует программы, предотвращая повреждение или отслеживание вредоносных или неисправных программ на остальной части вашего компьютера. Программное обеспечение, которое вы используете, уже изолировало большую часть кода, который вы запускаете каждый день.
Вы также можете создавать собственные «песочницы» для тестирования или анализа программного обеспечения в защищенной среде, где оно не сможет нанести никакого вреда остальной части вашей системы.
Как песочницы важны для безопасности
Песочница - это жестко контролируемая среда, в которой можно запускать программы. Песочницы ограничивают возможности фрагмента кода, предоставляя ему столько разрешений, сколько необходимо, без добавления дополнительных разрешений, которыми можно злоупотреблять.
Например, ваш веб-браузер по сути запускает посещаемые вами веб-страницы в песочнице. Они могут работать только в вашем браузере и иметь доступ к ограниченному набору ресурсов - они не могут просматривать вашу веб-камеру без разрешения или читать локальные файлы вашего компьютера. Если бы веб-сайты, которые вы посещаете, не были изолированы и изолированы от остальной системы, посещение вредоносного веб-сайта было бы так же плохо, как установка вируса.
Другие программы на вашем компьютере также изолированы. Например, Google Chrome и Internet Explorer сами работают в песочнице. Эти браузеры - это программы, запущенные на вашем компьютере, но они не имеют доступа ко всему вашему компьютеру. Они работают в режиме с низким разрешением. Даже если веб-страница обнаружит уязвимость в системе безопасности и сможет получить контроль над браузером, ей придется покинуть песочницу браузера, чтобы нанести реальный ущерб. Запуская веб-браузер с меньшим количеством разрешений, мы получаем безопасность. К сожалению, Mozilla Firefox по-прежнему не запускается в песочнице .
Что уже находится в песочнице
Большая часть кода, который ваши устройства запускают каждый день, уже изолирована для вашей защиты:
- Веб-страница : Ваш браузер, по сути, представляет собой песочницу для загружаемых веб-страниц. Веб-страницы могут запускать код JavaScript, но этот код не может делать все, что ему нужно - если код JavaScript пытается получить доступ к локальному файлу на вашем компьютере, запрос не выполняется.
- Контент подключаемого модуля браузера : Контент, загружаемый подключаемыми модулями браузера, такими как Adobe Flash или Microsoft Silverlight, также запускается в песочнице. Воспроизведение флэш-игры на веб-странице безопаснее, чем загрузка игры и ее запуск как стандартная программа, поскольку Flash изолирует игру от остальной части вашей системы и ограничивает ее возможности. Плагины браузера, особенно Java , являются частой целью атак, которые используют уязвимости системы безопасности, чтобы выйти из этой песочницы и нанести ущерб.
- PDF-файлы и другие документы : Adobe Reader теперь запускает файлы PDF в песочнице, предотвращая их выход из программы просмотра PDF и вмешательство в работу остальной части вашего компьютера. В Microsoft Office также есть режим песочницы, чтобы предотвратить повреждение вашей системы небезопасными макросами.
- Браузеры и другие потенциально уязвимые приложения : Веб-браузеры работают в изолированном режиме с низким разрешением, чтобы гарантировать, что они не могут нанести большой ущерб в случае взлома:
- Мобильные приложения : Мобильные платформы запускают свои приложения в песочнице. Приложениям для iOS, Android и Windows 8 не разрешено выполнять многие функции стандартных настольных приложений. Они должны объявить разрешения, если они хотят сделать что-то вроде доступа к вашему местоположению. В свою очередь, мы получаем некоторую безопасность - песочница также изолирует приложения друг от друга, поэтому они не могут вмешиваться друг в друга.
- Программы Windows : Контроль учетных записей пользователей функционирует как своего рода песочница, по существу запрещая настольным приложениям Windows изменять системные файлы без предварительного запроса вашего разрешения. Обратите внимание, что это очень минимальная защита - например, любая настольная программа Windows может работать в фоновом режиме и записывать все нажатия клавиш. Контроль учетных записей пользователей просто ограничивает доступ к системным файлам и общесистемным настройкам.
Как изолировать любую программу
Программы для настольных компьютеров по умолчанию обычно не изолированы. Конечно, есть UAC, но, как мы упоминали выше, это очень минимальная песочница. Если вы хотите протестировать программу и запустить ее, не создавая помех для остальной части вашей системы, вы можете запустить любую программу в песочнице.
- Виртуальные машины : Программа виртуальной машины, например VirtualBox или VMware создает виртуальные аппаратные устройства, которые используются для запуска операционной системы. Другая операционная система запускается в окне на вашем рабочем столе. Вся эта операционная система, по сути, является изолированной, поскольку у нее нет доступа ни к чему за пределами виртуальной машины. Вы можете установить программное обеспечение в виртуализированной операционной системе и запускать это программное обеспечение, как если бы оно работало на стандартном компьютере. Это позволит вам, например, установить вредоносное ПО и проанализировать его - или просто установить программу и посмотреть, не делает ли она что-нибудь плохое. Программы виртуальных машин также содержат функции моментальных снимков, чтобы вы могли «Откатить» гостевую операционную систему в состояние, в котором он был до установки плохого программного обеспечения.
- Песочница : Песочница это программа Windows, которая создает песочницы для приложений Windows. Он создает изолированные виртуальные среды для программ, не позволяя им вносить постоянные изменения в ваш компьютер. Это может быть полезно для тестирования программного обеспечения. Проконсультируйтесь с нашими введение в Sandboxie Больше подробностей.
Среднему пользователю не стоит беспокоиться о песочнице. Программы, которые вы используете, выполняют изолированную работу в фоновом режиме, чтобы обеспечить вашу безопасность. Однако вы должны помнить, что является изолированной программной средой, а что нет - поэтому безопаснее загружать любой веб-сайт, чем запускать любую программу.
Однако, если вы хотите изолировать стандартную настольную программу, которая обычно не является изолированной, вы можете сделать это с помощью одного из перечисленных выше инструментов.
