Zo kun je applicaties in een veilige sandbox opstarten
Wanneer je een (onbekende) site bezoekt of je installeert een of andere (gratis) tool dan loop je altijd wel een zeker risico. Er komt bijvoorbeeld heimelijk malware mee of de applicatie blijkt toch niet zo stabiel. Door de software geheel afgescheiden van de rest van je systeem te draaien, beperk of vermijd je die risico’s. Die techniek luistert naar de naam sandboxing.
Om malware, zoals virussen en ransomware, een stap voor te blijven installeer je natuurlijk een degelijke antivirustool en houd je die ook mooi up-to-date. Jammer genoeg weten zulke tools niet altijd alle malafide sites of software te ontmaskeren of te blokkeren. Vooral wanneer je onbekende sites bezoekt of nieuwe software wil uitproberen doe je er daarom goed aan extra beveiligingsmaatregelen te nemen.
Een beproefde techniek is sandboxing, waarbij individuele toepassingen van het onderliggende OS en van andere toepassingen worden geïsoleerd. Ze worden als het ware in een zandbak gestopt waaruit ze niet (horen te) kunnen ontsnappen.
Op een meer technisch niveau heeft men het ook wel over toepassingsvirtualisatie omdat die applicaties dan in een soort virtuele omgeving draaien. Immers, voor de software lijkt het alsof die in je echte (Windows-)omgeving opereert gezien die geen weet heeft van de afbakening binnen de sandbox.
In dit artikel bekijken we een aantal technieken en tools om allerlei applicaties in zo’n veilige sandbox op te starten. Blijkt alles koosjer, dan kun je die naderhand met een gerust hart in je ‘echte’ omgeving opnemen, als je dat wil.
01 Browsers
Het zal je misschien verbazen, maar heel wat browsers bieden standaard al een zekere mate van sandboxing. Dat geldt bijvoorbeeld al langer voor Google Chrome en ook voor Firefox vanaf versie 54. Die starten voor elke webpagina in principe een of meer nieuwe processen op om (de scripts op) die pagina uit te voeren, wat het voor potentiële malware lastiger maakt om andere browsertabs of bestanden te manipuleren.
Zelfs het goeie ouwe Internet Explorer biedt een vergelijkbare functionaliteit. Je moet die dan wel eerst even inschakelen: ga naar Internetopties / Geavanceerd en plaats een vinkje bij Uitgebreide beveiligde modus inschakelen. Het valt echter niet uit te sluiten dat bepaalde (incompatibele) add-ons nu niet meer correct functioneren.
Verder in dit artikel komen ook nog andere oplossingen aan bod, zoals Chrome of Edge opstarten binnen de contouren van Windows Sandbox, of in combinatie met Windows Defender Application Guard.
©PXimport
02 Antivirus
Betaalde versies van antivirussoftware hebben vaak allerlei extra beveiligingsfuncties. Zo voorzien de Internet Security Suites van zowel Avast! als Kaspersky beide in een sandboxing-functie. Bij deze laatste zorgt een gesandboxte browser onder andere voor de bescherming van je online financiële transacties.
Een sandbox tref je ook aan in de gratis versie van Comodo Antivirus. Die maakt niet alleen gebruik van een op Chromium-gebaseerde browser, inclusief sandboxing-technologie, maar je kunt er ook een willekeurige toepassing mee opstarten in een sandbox. Klik hiervoor op Taken en kies Containment taken / Start Virtueel / Kies en start. Verwijs naar een exe-bestand en start het op: een groen kader rond het applicatievenster geeft aan dat het programma in een sandbox draait. Je kunt op elk moment de sandbox (container) resetten met de wijzigingen van applicaties die je daarin hebt geplaatst.
©PXimport
03 Defender Antivirus
Ook Microsoft doet mee met toepassingsvirtualisatie en sandboxing. Vanaf Windows 10 1703 biedt het de mogelijkheid om het eigen Windows Defender Antivirus in een sandbox te draaien. Deze antivirustool wordt namelijk standaard uitgevoerd met verhoogde machtigingen, wat het een gewild doelwit maakt van malware. Je activeert deze functie als volgt. Klik met rechts op Windows PowerShell en kies Als administrator uitvoeren. Op de opdrachtprompt voer je het volgende commando uit:
setx /M MP_FORCE_USE_SANDBOX 1, waarna je Windows herstart.
Als je vervolgens het Windows Taakbeheer (Ctrl+Shift+Esc) opstart en op Meer details / Details klikt hoor je hier nu ook MsMpEngCP.exe te zien draaien.
©PXimport
04 WDAG
Gebruikers van Windows 10 Pro 64-bit 1803 en hoger kunnen tevens de ingebouwde Windows Defender Application Guard (WDAG) activeren voor gebruik in Edge. Hier staan de exacte systeemvereisten. Je browser wordt dan met behulp van Hyper-V in een beperkte, virtuele machine opgesloten. Deze machine heeft bijvoorbeeld geen toegang tot het klembord of tot externe bestanden. Voer Windows Powershell als administrator uit en voer het volgende commando uit:
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
Na een herstart van je pc start je Edge op. Afhankelijk van je Edge-verse moet je mogelijk eerst edge://flags in de adresbalk intikken en Microsoft Edge Application Guard inschakelen. Als het goed is krijg je nu via het …-knopje toegang tot een extra optie: Nieuw Application Guard-venster.
Om WDAG ook in Chrome te gebruiken heb je een browserextensie nodig, die je hier kunt downloaden. Als de extensie je ook een link aanbiedt naar de WDAG Companion-app in de Windows Store, dan moet je die ook even installeren. Herstart vervolgens Windows.
©PXimport
Sandbox configureren
Om de Windows-sandbox naar eigen hand te zetten moet je een wsb-configuratiebestand creëren en de xml-instructies handmatig aanpassen. Meer uitleg hierover vind je hier. Dankzij de Sandbox Configuration Manager kan het eenvoudiger. Pak het archiefbestand uit met een dubbelklik op het uitgepakte Windows Sandbox Editor v2.exe-bestand. Bij Basic infos vul je de naam van je sandbox in, evenals het pad waarin het wsb-bestand moet terechtkomen. Geef aan of je een netwerkverbinding wenst en of ook de gpu moet worden gevirtualiseerd (bij VGPU status). Ga naar Mapped Folders en klik op Browse folder om een map uit de ‘echte’ Windows-omgeving vanuit de sandbox te kunnen benaderen. Via Startup commands kun je automatisch commando’s laten uitvoeren bij het opstarten van je sandbox. Bevestig met Save existing sandbox. Om een sandbox te starten schakel je optie Run Sandbox after change in, verwijs je via Load existing Sandbox naar je wbs-bestand en bevestig je met Save existing sandbox.
©PXimport
05 Windows Sandbox
Microsoft plaatste de sandboxing-techniek in een stroomversnelling met het invoeren van een heuse Sandbox-tool in Windows 10 1903. Deze tool is in principe alleen beschikbaar voor gebruikers van Windows Pro en Enterprise (zie echter ook de kadertekst ‘Sandbox Home’). Ook deze technologie maakt dankbaar gebruik van Hyper-V: die zorgt voor een virtuele Windows-omgeving waarbinnen je veilig kunt experimenteren met onbekende sites en software. Deze ‘zandbak’ leunt weliswaar al heel dicht tegen systeemvirtualisatie aan, (zie tekstkader ‘Systeemvirtualisatie’).
Ook de Windows Sandbox dien je zelf in te schakelen. Druk op Windows-toets+R en voer optionalfeatures uit. Scrol naar de optie Windows-Sandbox en plaats hier een vinkje. Bevestig met OK en herstart je systeem. Dat moet wel aan bepaalde vereisten voldoen, zoals beschikken over een 64bit-processor, virtualisatie geactiveerd in het bios (AMD-V of Intel VT) en minimaal 4 GB ram.
Als Sandbox succesvol is geactiveerd hoef je alleen maar in de programmalijst Windows Sandbox op te starten. Even later duikt er een venster op met een virtuele Windows-omgeving. Die beperkt automatisch de toegang tot de onderliggende ‘echte’ Windows: dat merk je meteen wanneer je hier bijvoorbeeld de Verkenner opent. Alle aanpassingen verdwijnen ook zodra je de virtuele omgeving sluit. Houd er wel rekening mee dat andere virtualisatiesoftware, zoals VirtualBox, niet meer zal functioneren tot je de Windows-Sandbox-functie weer uitschakelt!
©PXimport
Sandbox Home
Windows Sandbox is normaliter niet beschikbaar voor Windows Home, maar via een omweg wel. Hier staat het bestand Sandbox Installer.zip. Na downloaden en uitpakken klik je met rechts op het bestandje Sandbox Installer.bat en kies je Als administrator uitvoeren. Na voltooiing van het proces bevestig je met Y, waarna je pc herstart. Daarna zou je Windows-Sandbox bij Windows-onderdelen terug moeten vinden. Op dezelfde website vind je ook een Sandbox UnInstaller.zip-bestand, voor als je er weer vanaf wilt.
©PXimport
06 Sandboxie: opstart
Een uitstekend alternatief voor de Windows Sandbox is de freeware-tool Sophos Sandboxie, die werkt onder alle versies van Windows 7 en hoger, inclusief Windows Home. Na installatie tref je bij de eerste opstart weliswaar al een zandbak met de naam Sandbox Default aan, maar die is dan leeg. Vanuit het contextmenu kun je de naam trouwens aanpassen.
Je kunt bijvoorbeeld een browser binnen zo’n zandbak draaien door met rechts op je zandbak te klikken en Gesandboxt uitvoeren / Webbrowser starten te kiezen. Je kunt de werking makkelijk uittesten: download een willekeurig bestand en plaats dat op je bureaublad. Je zult merken dat het niet op je reguliere bureaublad terechtkomt, maar op het bureaublad van je sandbox.
©PXimport
07 Sandboxie: werking
Meteen na deze download duikt er een venster op met de naam ‘Onmiddellijk herstel’. Wil je het gedownloade bestand uit de afgeschermde omgeving alsnog op je echte bureaublad, klik dan op de knop Herstellen.
Het is ook achteraf nog mogelijk bestanden uit een zandbak te halen. Hiervoor open je in het hoofdvenster van Sandboxie het menu Beeld / Bestanden en mappen. Vervolgens navigeer je naar het gewenste bestand. Vanuit het contextmenu kun je het dan naar de gewenste locatie overhevelen. Terugkeren naar het Sandboxie-venster doe je via het menu Beeld / Programma’s.
Om andere applicaties in je zandbak uit te voeren klik je met rechts op je zandbak en kies je Gesandboxt uitvoeren / Programma uitvoeren of Uitvoeren vanaf startmenu. Een nieuwe zandbak maak je via Sandbox / Nieuwe sandbox aanmaken.
Om een programma uitsluitend nog in een zandbak te kunnen draaien klik je met rechts op je zandbak en kies je Sandbox-instellingen. Open de rubriek Start programma en klik op Geforceerde programma’s / Programma toevoegen / Bestanden openen/selecteren. Verwijs naar het programmabestand en bevestig je keuze. Om het programma snel te kunnen starten kun je er in de Verkenner met rechts op klikken en Gesandboxt uitvoeren kiezen (werkt niet met alle programma’s).
©PXimport
08 Toolwiz Time Freeze
Ook Toolwiz Time Freeze (geschikt voor Windows XP en hoger) is een sandboxing-tool, maar dan eentje die als het ware je hele systeem in de zandbak stopt. Letterlijk alle schrijfoperaties, althans die van je Windows-partitie, worden naar een cachebestand omgeleid en na een herstart van je systeem wordt die cache automatisch weer geledigd. Tijdens de installatie worden wel een paar kernel-drivers op je systeem gezet, dus maak voor alle zekerheid eerst een systeemback-up.
Tijdens de installatie kun je de standaardinstellingen ongemoeid laten. Na een herstart van je pc start je de tool. Klik met rechts op het programma-icoontje in het Windows systeemvak en kies Show Program, waarna je op de knop Start Time Freeze druk. Alle wijzigingen op je systeempartitie zullen nu na een herstart automatisch verdwijnen. Dat kun je uittesten door bijvoorbeeld enkele bestanden toe te voegen of te verwijderen, of het uitzicht van je bureaublad te wijzigen.
Je kunt een sessie ook altijd beëindigen door Stop Time Freeze aan te klikken. Na je bevestiging herstart Windows automatisch en worden alle wijzigingen genegeerd.
We geven nog even mee dat je in het hoofdvenster via Enable Folder Exclusion when Time Freeze is ON bestanden buiten de bescherming van Toolwiz Time Freeze kunt plaatsen. Het volstaat die hier via de knoppen Add File of Add Folder toe te voegen. Deze data blijven dan na een herstart behouden.
©PXimport
Systeemvirtualisatie
In het artikel focussen we ons op toepassingsvirtualisatie, maar een paar tools hebben duidelijk raakvlakken met systeemvirtualisatie, waarbij niet alleen bepaalde toepassingen maar zowat het complete systeem wordt gevirtualiseerd – denk aan Windows Sandbox en deels ook Toolwiz Time Freeze. Een van de populairste, gratis tools voor systeemvirtualisatie is Oracle VM VirtualBox. In een notendop ga je hier als volgt mee aan de slag. Download en installeer de tool. Wanneer je die opstart, is het venster met ‘virtuele machines’ (vm’s) nog leeg. Om zo’n vm toe te voegen klik je op Nieuw. Geef een naam aan je vm en geef aan in welke map die hoort terecht te komen. Duid het Type aan (bijvoorbeeld MS Windows) en de bijhorende Versie. Druk op Volgende en voorzie een geschikte hoeveelheid ram-geheugen voor je vm (bijvoorbeeld 2048 MB voor Windows). Klik op Volgende / Aanmaken / Volgende / Volgende. Ken een geschikte grootte toe aan de virtuele schijf (bijvoorbeeld 50 GB) en bevestig met Aanmaken. Dubbelklik op de nieuwe vm en klik op het mapicoontje. Verwijs naar het schijfkopiebestand (iso) van het beoogde systeem. Zodra je op Start drukt wordt dat geïnstalleerd. Na afloop kun je het virtuele systeem opstarten en gebruiken.
©CIDimport
