Ce n'est un secret pour personne qu'à mesure qu'ils apprennent à connaître le système d'exploitation, de nombreux utilisateurs commencent à essayer de plus en plus de ses fonctionnalités - l'appétit, comme vous le savez, vient en mangeant. Il n'est pas rare non plus que ceux qui souhaitent essayer d'autres systèmes d'exploitation ou de nouvelles versions d'un système déjà installé. La question se pose - comment faire cela sans interférer avec les composants clés du système et sans risquer de perdre des données importantes ? Comment revenir en arrière en cas d'actions infructueuses ? La réponse est simple : la virtualisation est nécessaire.
Une machine virtuelle est une sorte d '"ordinateur dans un ordinateur" - un émulateur d'un ordinateur à part entière utilisant des outils logiciels. Avec son aide, vous pouvez expérimenter de toutes les manières possibles, sans craindre de gâcher quelque chose - après tout, les conséquences seront minimes et n'affecteront pas la machine "parente". Il s'agit d'une sorte de "bac à sable" (sandbox), où les "enfants ludiques" - les programmes peuvent fonctionner sans risquer d'endommager les logiciels et surtout le matériel de l'ordinateur. Même le cauchemar des utilisateurs de Windows - un plantage du système n'affectera pas les données de l'utilisateur. Les fans d'expérimentation de logiciels inconnus peuvent l'exécuter dans un environnement virtuel - en passant, le lancement préliminaire de programmes dans un environnement sûr est l'un des principaux moyens de vérifier les antivirus modernes.
Cependant, comme tout le reste dans le monde, la méthode de virtualisation a ses inconvénients - après tout, lors du démarrage d'un système d'exploitation virtuel, il occupe une partie des ressources du système principal. L'un des principaux est le problème de l'allocation de RAM pour le "système d'exploitation invité" - après tout, pendant le fonctionnement, il utilise les ressources du "système hôte", ce qui n'a pas le meilleur effet sur le travail des deux. Il est considéré comme optimal de ne pas allouer plus de 50% de RAM pour le fonctionnement d'une machine virtuelle. L'utilisateur choisit lui-même la limite inférieure, en fonction des exigences du système. En conséquence, il est nécessaire de partager les ressources du GPU.
En raison de la spécificité de la méthode de virtualisation, il est également nécessaire d'établir un échange de données entre les systèmes - après tout, vous devez payer pour l'isolement et le système de fichiers du système principal ne peut pas être vu depuis celui de l'invité. Pour ce faire, vous devez sélectionner des dossiers partagés - des répertoires dans lesquels les données destinées au transfert sont placées. Depuis le système invité, ils sont connectés en tant que lecteurs réseau partagés - en conséquence, leur configuration est également nécessaire. La prise en charge des périphériques USB dans une machine virtuelle reste un casse-tête pour l'utilisateur.
Il existe une grande variété de logiciels actuellement disponibles dans l'industrie de la virtualisation, mais trois d'entre eux se démarquent : VMware Workstation, Windows Virtual PC et Oracle WM VirtualBox. Ils fournissent l'ensemble le plus complet de solutions logicielles de virtualisation. Vous trouverez ci-dessous une comparaison entre eux en termes d'utilisation à domicile.
Poste de travail VMware
VMware Workstation est un excellent outil de virtualisation. Les développeurs revendiquent la prise en charge de plus de 200 types de systèmes d'exploitation, qui peuvent être alloués jusqu'à 32 Go de RAM. Le programme se positionne comme un outil pour les développeurs et les testeurs de logiciels et est payant. L'interface est configurée en conséquence - pour vous sentir à l'aise, vous devez avoir des connaissances de base sur l'installation et la configuration des machines virtuelles. Les avantages incluent une meilleure prise en charge de l'accélération matérielle 3D et une compatibilité totale avec les effets visuels comme Aero dans Windows 7 et la prise en charge des systèmes 32 bits et 64 bits.Cependant, tous les utilisateurs n'accepteront pas de débourser 133 $ pour le programme.
PC virtuel Windows
Il se positionne comme un produit gratuit de Microsoft, ce qui détermine ses principales caractéristiques. Tout d'abord, il est conçu pour virtualiser le travail de la famille de systèmes d'exploitation Windows afin d'assurer la compatibilité des programmes avec Windows 7. Il est assez facile à installer et à utiliser, il existe un support pour les périphériques USB. L'une des fonctionnalités est la prise en charge de l'affichage de différents systèmes d'exploitation sur plusieurs moniteurs. Il convient de noter que Virtual PC refuse souvent de fonctionner avec plusieurs cœurs sur des processeurs multicœurs, ce qui réduit son efficacité. Les utilisateurs souhaitant installer Linux devront trouver d'autres solutions - il n'y a pas de support officiel pour exécuter Linux en tant qu'OS invité. Sinon, nous pouvons recommander Windows Virtual PC comme logiciel à usage domestique.
C'est une erreur de supposer que la protection intégrée du système d'exploitation, de l'antivirus ou du pare-feu protégera complètement contre les logiciels malveillants. Cependant, le mal n'est peut-être pas aussi évident que dans le cas des virus : plusieurs applications peuvent ralentir Windows et entraîner divers types d'anomalies. Au fil du temps, les conséquences de processus incontrôlés de la part de logiciels "amateurs" se font sentir, et la désinstallation, la suppression des clés de registre et d'autres méthodes de nettoyage n'aident plus.
Dans de telles situations, les programmes sandbox, auxquels cette revue est dédiée, peuvent rendre un excellent service. Le principe de fonctionnement des sandbox est en partie comparable aux machines virtuelles (Oracle VM VirtualBox et autres, VMware Virtualization). Grâce à la virtualisation, tous les processus initiés par le programme sont exécutés dans un bac à sable - un environnement isolé avec un contrôle strict des ressources système.
Cette méthode d'isolation de code est assez activement utilisée dans les logiciels antivirus (KIS 2013, avast !), dans des programmes tels que Google Chrome (Flash fonctionne dans le bac à sable). Cependant, il ne faut pas conclure que les programmes sandbox sont une garantie complète de sécurité. Ce n'est qu'un des moyens supplémentaires efficaces pour protéger le système d'exploitation (système de fichiers, registre) des influences extérieures.
Une revue du programme de création d'un environnement virtuel a déjà été publiée sur le site -. Aujourd'hui, d'autres applications seront envisagées, dans un sens plus large : ce ne sont pas seulement des solutions desktop, mais aussi des services cloud qui améliorent non seulement la sécurité, mais aussi l'anonymat, permettant de tourner depuis un support amovible, depuis un autre ordinateur.
Bac à sable
Le développeur Ronen Tzur compare l'action du programme Sandboxie à une couche invisible appliquée sur du papier : vous pouvez y mettre n'importe quelle inscription ; lorsque la protection est retirée, la feuille restera intacte.
Il existe 4 façons principales d'utiliser les bacs à sable dans Sandboxie :
- Surfer sur Internet en toute sécurité
- Amélioration de la confidentialité
- Correspondance sécurisée par e-mail
- Garder le système d'exploitation dans son état d'origine
Le dernier point implique que vous pouvez installer et exécuter toutes les applications clientes dans le bac à sable - navigateurs, messageries instantanées, jeux - sans affecter le système. Sandboxie contrôle l'accès aux fichiers, aux périphériques de disque, aux clés de registre, aux processus, aux pilotes, aux ports et à d'autres sources potentiellement non sécurisées.
Tout d'abord, SandboxIE est utile car il permet à l'utilisateur de configurer de manière flexible les sandbox et les privilèges à l'aide du shell Sandboxie Control. Ici, à travers le menu contextuel et principal, les principales opérations sont disponibles :
- Démarrage et arrêt des programmes contrôlés par Sandboxie
- Affichage des fichiers dans un bac à sable
- Restaurer les fichiers dont vous avez besoin à partir du bac à sable
- Supprimer tout le travail ou les fichiers sélectionnés
- Créer, supprimer et configurer des bacs à sable
Pour exécuter le programme dans le sandbox, faites simplement glisser le fichier exécutable dans la fenêtre Sandboxie Control, dans le sandbox créé par défaut. Il existe d'autres moyens - par exemple, le menu de l'Explorateur Windows ou la zone de notification. La fenêtre d'un programme s'exécutant dans un environnement émulé aura une bordure jaune et un signe dièse (#) dans le titre.
Si, lorsque vous travaillez avec un programme en bac à sable, vous devez enregistrer les résultats sur le disque, la source souhaitée est spécifiée - les fichiers seront placés dans le dossier sandbox, tandis qu'à l'adresse spécifiée, en dehors du bac à sable, ce ne sera pas le cas. Pour "réel" transférer des fichiers depuis le bac à sable, vous devez utiliser l'option de restauration. Il en existe deux types - rapide ou immédiat, dans les deux cas, avant de démarrer le programme dans le bac à sable, vous devez configurer des dossiers pour la récupération ("Paramètres du bac à sable - Récupération").
Des paramètres d'accès plus détaillés se trouvent dans les sections "Restrictions" et "Accès aux ressources". Ils peuvent être nécessaires si l'application ne peut pas s'exécuter sans certains privilèges (nécessite une certaine bibliothèque système, un pilote, etc.). Dans "Restrictions", en relation avec des programmes ou des groupes, l'accès à Internet, au matériel, aux objets IPC, ainsi qu'à l'accès de bas niveau est configuré. Dans "Accès aux ressources" - les paramètres appropriés pour les fichiers, les répertoires, le registre et les autres ressources système.
Également dans les paramètres Sandboxie, il existe une section importante "Applications", qui contient des groupes de programmes pour lesquels l'accès aux ressources spécifiées est accordé. Initialement, tous les éléments de la liste sont désactivés ; pour appliquer les modifications à une application spécifique, vous devez la marquer dans la liste et cliquer sur le bouton "Ajouter".
Ainsi, il est possible de créer des bacs à sable avec différents paramètres. Il est permis de cloner la configuration d'une sandbox existante ; pour cela, lors de la création d'une nouvelle, sélectionnez l'environnement à partir duquel vous souhaitez transférer les paramètres dans la liste déroulante.
Sommaire
Avec l'application Sandboxie, vous pouvez créer des environnements virtuels de n'importe quelle configuration, sans restriction d'utilisateur. Sandboxie fournit un grand nombre de paramètres pour les applications individuelles et les bacs à sable.
[+] Configuration flexible de chaque bac à sable
[+] Création de règles pour un groupe d'applications
[-] Vous ne pouvez pas créer de distributions
[-] Pas d'assistant de configuration
Évalaze
Il est symbolique qu'Evalaze soit issu du programme Thinstall 2007, actuellement VMware.
Evalaze n'est pas aussi connu que Sandboxie parmi les programmes de sandboxing, mais il possède un certain nombre de fonctionnalités intéressantes qui le distinguent d'un certain nombre de solutions similaires. Grâce à la virtualisation, les applications peuvent être exécutées dans un environnement autonome à partir de n'importe quel ordinateur, quelle que soit la disponibilité des pilotes, des bibliothèques ou des versions plus récentes de l'application en cours de lancement. Il ne nécessite aucune configuration préalable ou des fichiers de configuration supplémentaires ou des bibliothèques ou des clés de registre.
Evalaze ne nécessite pas d'installation, une mise en garde : vous aurez besoin de Microsoft .NET Framework version 2.0 ou supérieure pour fonctionner. Dans la version gratuite, ainsi que dans l'édition professionnelle, un assistant de configuration de la virtualisation et un nombre illimité d'applications virtuelles sont disponibles. Vous pouvez télécharger une version d'essai depuis le site des développeurs uniquement sur demande (voir l'e-mail des développeurs sur le site).
La configuration résultante peut être enregistrée dans un projet. Du début à la fin, le processus de configuration de l'application virtuelle prend plus de temps que, disons, Sandboxie, mais il est plus cohérent et simple.
Il convient de noter deux fonctionnalités supplémentaires d'Evalaze, susceptibles d'intéresser les développeurs et les testeurs de logiciels : il s'agit du travail avec un système de fichiers virtuel et un registre virtuel. Ces environnements Evalaze autonomes peuvent être modifiés à votre guise en ajoutant des fichiers, des répertoires, des clés nécessaires au fonctionnement d'un programme virtuel particulier.
Toujours dans Evalaze, vous pouvez configurer des associations prêtes à l'emploi : l'application virtuelle créera immédiatement les associations nécessaires avec les fichiers du système d'exploitation au démarrage.
Sommaire
Un programme avec lequel vous pouvez créer des applications autonomes pratiques à utiliser dans toutes sortes de situations, ce qui facilite en général la migration, la compatibilité, la sécurité. Hélas, la version gratuite est pratiquement inutile, elle n'est intéressante que pour une étude très superficielle des fonctions d'Evalaze.
[-] Version d'essai peu fonctionnelle
[-] Le prix élevé de la version Pro
[+] Il y a un assistant de configuration
[+] Système de fichiers virtuel et registre
Boîte virtuelle Enigma
Le programme Enigma Virtual Box est conçu pour exécuter des applications dans un environnement virtuel isolé. La liste des formats pris en charge comprend dll, ocx (bibliothèques), avi, mp3 (multimédia), txt, doc (documents), etc.
Enigma Virtual Box modélise l'environnement virtuel autour de l'application comme suit. Avant de démarrer l'application, le chargeur Virtual Box est déclenché, qui lit les informations nécessaires au fonctionnement du programme: bibliothèques et autres composants - et les fournit à l'application au lieu de celles du système. En conséquence, le programme fonctionne de manière autonome par rapport au système d'exploitation.
Il faut généralement environ 5 minutes pour configurer les bacs à sable Sandboxie ou Evalaze.À première vue, Virtual Box n'implique pas non plus de configuration longue. Dans la documentation, l'utilisation du programme est en fait contenue dans une phrase.
Seulement 4 onglets - "Fichiers", "Registre", "Conteneurs" et, en fait, "Options". Vous devez sélectionner un fichier exécutable, spécifier l'emplacement du résultat final et démarrer le traitement. Mais plus tard, il s'avère que l'environnement virtuel doit être créé indépendamment. Pour cela, les trois sections adjacentes "Fichiers", "Registre" et "Conteneurs" sont destinées, où les données nécessaires sont ajoutées manuellement. Après cela, vous pouvez cliquer sur traitement, exécuter le fichier de sortie et vérifier les performances du programme.
Sommaire
Ainsi, dans Enigma Virtual Box, il n'y a pas d'analyse du système d'exploitation avant et après l'installation de l'application, comme c'est le cas avec Evalaze. L'accent est mis sur le développement - par conséquent, Virtual Box est plutôt utile pour tester, vérifier la compatibilité, créer des conditions artificielles pour exécuter un programme. La virtualisation d'applications inconnues entraînera des difficultés, car l'utilisateur sera obligé de spécifier lui-même tous les liens du programme.
[-] Manque de réglage pratique
[+] Les ressources utilisées par le programme peuvent être déterminées indépendamment
cameyo
Cameyo propose la virtualisation des applications dans trois domaines : métier, développement, usage personnel. Dans ce dernier cas, le bac à sable peut être utilisé pour maintenir le système d'exploitation dans un état "propre", stocker et exécuter des applications sur des supports amovibles et des services cloud. De plus, plusieurs centaines d'applications virtuelles déjà configurées sont publiées sur le portail cameyo.com, ce qui fait également gagner du temps aux utilisateurs.
Les étapes de création d'une application virtuelle sont similaires à Enigma Virtual Box : d'abord, un instantané du système est créé avant l'installation, puis après. Les changements entre ces états sont pris en compte lors de la création du bac à sable. Cependant, contrairement à Virtual Box, Cameyo se synchronise avec un serveur distant et publie l'application sur le cloud. Grâce à cela, les applications peuvent être exécutées sur n'importe quel ordinateur ayant accès au compte.
Grâce à la bibliothèque (Library), vous pouvez télécharger des applications système populaires (Public Virtual Apps) pour un lancement ultérieur : archiveurs, navigateurs, lecteurs et même antivirus. Au démarrage, vous êtes invité à sélectionner un fichier exécutable et à indiquer s'il fonctionne de manière stable ou non (ce qui, apparemment, est en quelque sorte pris en compte par les modérateurs de la galerie Cameyo).
Une autre fonctionnalité intéressante est la création d'une application virtuelle via . Le programme d'installation peut être téléchargé à partir d'un ordinateur ou vous pouvez spécifier une URL de fichier.
Le processus de conversion, selon les déclarations, prend de 10 à 20 minutes, mais souvent le temps d'attente est plusieurs fois inférieur. Une fois terminé, une notification est envoyée à l'e-mail avec un lien vers le package publié.
Notification par e-mail sur la création de la distribution
Avec toutes les commodités du cloud, il y a deux points importants à noter. Premièrement: chaque programme est mis à jour de temps en temps et il existe des copies plutôt obsolètes dans la bibliothèque. Le deuxième aspect est que les applications ajoutées par les utilisateurs peuvent violer la licence d'un programme particulier. Cela doit être compris et pris en compte lors de la création de distributions personnalisées. Et troisièmement, personne ne peut garantir que l'application virtuelle postée dans la galerie n'a pas été modifiée par un attaquant.
Cependant, en parlant de sécurité, Cameyo dispose de 4 modes d'application :
- Mode données : le programme peut enregistrer des fichiers dans le dossier Documents et sur le bureau
- Isolé : pas d'écriture dans le système de fichiers et le registre
- Accès complet : accès gratuit au système de fichiers et au registre
- Personnalisez cette application : modifiez le menu de lancement, choisissez où stocker le programme, etc.
Sommaire
Un service cloud pratique auquel vous pouvez vous connecter sur n'importe quel ordinateur, vous permettant de créer rapidement des applications portables. La configuration des bacs à sable est minimisée, tout n'est pas transparent avec l'analyse antivirus et la sécurité en général - cependant, dans cette situation, les avantages peuvent compenser les inconvénients.
[+] Synchronisation réseau
[+] Accès aux applications personnalisées
[+] Créer des applications virtuelles en ligne
[-] Manque de paramètres de bac à sable
Cuillère.net
Spoon Tools est un ensemble d'outils pour créer des applications virtuelles. En plus d'être un environnement professionnel, cuillère.net mérite l'attention en tant que service cloud qui s'intègre au bureau, vous permettant de créer rapidement des bacs à sable.
Pour intégrer le bureau, vous devez vous inscrire sur le serveur cuillère.net et installer un widget spécial. Après l'enregistrement, l'utilisateur a la possibilité de télécharger des applications virtuelles à partir du serveur via un shell pratique.
Quatre fonctionnalités apportées par le widget :
- Créer des bacs à sable pour les fichiers et les applications
- Ranger le bureau avec des raccourcis, menu de lancement rapide
- Tests sécurisés de nouvelles applications, exécutant des versions héritées par-dessus les nouvelles
- Annuler les modifications apportées par le bac à sable
Un accès rapide au widget cuillère.net est possible via le raccourci clavier Alt + Win. Le shell comprend une chaîne de recherche, en combinaison - la console. Il recherche des applications sur l'ordinateur et sur le service Web.
L'organisation du bureau est très pratique : vous pouvez faire glisser les fichiers nécessaires sur le bureau virtuel, qui sera synchronisé avec spool.net. De nouveaux bacs à sable peuvent être créés en seulement deux clics.
Bien sûr, en termes de mise en place de bacs à sable, Spoon ne peut pas rivaliser avec Sandboxie ou Evalaze pour la simple raison qu'ils n'existent tout simplement pas dans Spoon. Vous ne pouvez pas définir de restrictions, convertir une application "normale" en une application virtuelle. Le complexe Spoon Studio est destiné à ces fins.
Sommaire
Spoon est le shell "le plus nuageux" pour travailler avec des applications virtuelles et, en même temps, le moins personnalisable. Ce produit plaira aux utilisateurs qui ne se soucient pas tant de la sécurité du travail grâce à la virtualisation, mais de la commodité de travailler avec les programmes nécessaires partout.
[+] Intégration du widget avec Desktop
[+] Création rapide de bacs à sable
[-] Manque de paramètres pour limiter les programmes virtuels
tableau croisé dynamique
| Programme/service | Bac à sable | Évalaze | Boîte virtuelle Enigma | cameyo | Cuillère.net |
| Développeur | Sandboxie Holdings LLC | Dogel GmbH | L'équipe de développeurs Enigma Protector | cameyo | Cuillère.net |
| Licence | Shareware (€13+) | Freeware/Shareware (69,95 €) | Logiciel gratuit | Logiciel gratuit | Gratuit (compte de base) |
| Ajouter des applications au bac à sable | + | − | − | − | − |
| Personnalisation (création de raccourcis, intégration de menu) | + | + | − | + | + |
| Assistant de configuration | − | + | + | + | − |
| Création de nouvelles applications virtuelles | − | + | + | + | − |
| Synchronisation en ligne | − | − | − | + | + |
| Définition des privilèges Sandbox | + | + | + | + | − |
| Analyse des modifications lors de la création d'une sandbox | + | + | − | + | − |
Le programme Sandboxie crée un environnement isolé sur l'ordinateur. Un environnement isolé ou "bac à sable" est un environnement dans lequel les programmes en cours d'exécution n'ont pas d'accès direct aux fichiers système et aux paramètres informatiques importants.
Les processus qui se déroulent dans un programme en cours d'exécution sont isolés du reste du système. Dans le même temps, le système d'exploitation est protégé contre les modifications pouvant survenir lors du lancement d'un programme potentiellement dangereux.
Vous pouvez utiliser l'environnement isolé pour lancer un programme inconnu ou visiter un site potentiellement dangereux après avoir lancé un navigateur, sans risquer votre ordinateur.
Si le logiciel malveillant s'est infiltré dans votre ordinateur, il n'aura pas accès aux fichiers système pour les modifier. Et lorsque vous quittez l'environnement isolé, tous les fichiers entrés dans l'environnement isolé seront supprimés.
Vous pouvez créer votre propre environnement isolé à l'aide de programmes spécialisés qui restreignent l'accès aux fichiers système. L'un de ces programmes est le programme Sandboxie.
Le programme Sandboxie est un bac à sable pour les programmes potentiellement dangereux et inconnus, ainsi que pour surfer en toute sécurité sur Internet.
Le programme Sandboxie a le statut de shareware. Après 30 jours de travail avec le programme, le programme vous demandera de passer à la version payante. Mais, la plupart des fonctions du programme fonctionneront en mode gratuit aussi longtemps que vous le souhaitez. Seules certaines fonctionnalités de ce programme seront désactivées (par exemple, exécuter plusieurs bacs à sable en même temps).
Vous pouvez télécharger le programme Sandboxie sur le site officiel du fabricant.
Téléchargement du bac à sable
Après avoir téléchargé le programme Sandboxie sur votre ordinateur, exécutez son installation. Dans la fenêtre d'installation du programme, sélectionnez la langue russe.
Dans la fenêtre suivante, vous acceptez d'installer le pilote du programme Sandboxie, puis cliquez sur le bouton "Suivant". Dans la dernière fenêtre de l'installation du programme, cliquez sur le bouton "Terminer".
Le programme peut être lancé à partir du menu Démarrer => Tous les programmes => Sandboxie. Il y a plusieurs points pour lancer le programme à des fins spécifiques.
Le programme Sandboxie peut également être lancé à partir du panneau de notification (barre) en cliquant sur l'icône du programme. Depuis le raccourci sur le bureau, vous pouvez lancer le navigateur dans le bac à sable, celui qui est sélectionné comme navigateur par défaut sur votre système.
Lancez Sandboxie pour apporter quelques modifications au programme. La fenêtre principale du programme affiche l'environnement isolé créé par défaut - le "bac à sable".
Considérez maintenant cette question : comment configurer Sandboxie.
Configuration du bac à sable
Pour configurer le programme, faites un clic droit sur le nom du "sandbox". Après cela, dans le menu contextuel, cliquez sur l'élément "Paramètres du bac à sable".
Dans la fenêtre des paramètres du bac à sable - "DefaultBox", dans la section "Comportement", vous pouvez cocher la case à côté de l'élément "Ne pas afficher l'indicateur Sandboxie dans le titre de la fenêtre" si vous ne voulez pas que les fenêtres des programmes s'ouvrent dans le "bac à sable" pour être marqué avec une icône spéciale. Vous pouvez le faire à votre discrétion.
Lorsque vous cliquez sur la case jaune, dans la fenêtre "Couleur" qui s'ouvre, vous pouvez sélectionner une couleur pour afficher une bordure fine autour de la fenêtre du programme s'exécutant dans la "bac à sable". Après ces paramètres, si vous avez modifié quelque chose dans les paramètres du programme, cliquez sur le bouton "Appliquer".
Dans la section "Récupération", dans la sous-section "Récupération rapide", vous pouvez sélectionner des dossiers pour une récupération rapide si vous souhaitez modifier les paramètres par défaut du programme.
Dans la sous-section Récupération immédiate, vous pouvez exclure des fichiers, des dossiers ou des types d'extension de fichier de la récupération immédiate si ces fichiers sont enregistrés par un programme exécuté dans le bac à sable.
Dans la section "Suppression", dans la sous-section "Suggestion de suppression", vous pouvez cocher la case "Ne jamais supprimer cette sandbox ou nettoyer son contenu" afin de ne pas perdre les données stockées dans la sandbox.
Dans la section "Restrictions", dans la sous-section "Accès Internet", vous pouvez ajouter des programmes à la liste ou supprimer des programmes de la liste des programmes pouvant accéder à Internet. Vous pouvez autoriser ou empêcher les programmes d'accéder à Internet lorsqu'ils se trouvent dans un environnement sécurisé. Si vous cliquez sur le bouton Bloquer tous les programmes, tous les programmes exécutés dans le bac à sable seront bloqués pour accéder à Internet.
Dans la section "Applications", vous pouvez choisir les règles de comportement des différents programmes exécutés dans le programme Sandboxie.
Dans la section du menu "Sandbox", en cliquant sur l'élément "Définir le dossier de stockage", vous pouvez changer le lecteur sur lequel les sandbox seront stockées si vous avez peu d'espace sur le lecteur "C".
Après avoir cliqué sur l'élément "Créer un nouveau bac à sable", vous pouvez créer un nombre illimité de bacs à sable, chacun avec ses propres paramètres, afin d'exécuter des programmes avec des paramètres de comportement différents à partir de votre bac à sable.
Ce mode de lancement de plusieurs bacs à sable en même temps ne fonctionne que dans la version payante du programme, après la fin de la période d'essai de travail avec le programme.
Chaque espace virtuel fonctionne séparément, les bacs à sable sont isolés du système et les uns des autres. Par défaut, l'application propose une Sandbox DefaultBox isolée.
Comment utiliser Sandbox
Première façon. Pour exécuter le programme en mode sans échec, cliquez avec le bouton droit sur le nom du "sandbox" et dans le menu contextuel, cliquez sur l'élément "Exécuter dans le bac à sable". Dans la liste des éléments de lancement, vous pouvez sélectionner l'élément approprié pour lancer le programme.
Vous pouvez lancer un navigateur, le client de messagerie par défaut, et lancer n'importe quel programme à partir d'ici ou du menu Démarrer. Vous pouvez également démarrer l'Explorateur dans un environnement sûr si vous cliquez sur l'élément "Démarrer l'Explorateur Windows".
Après cela, Explorer sera lancé dans un environnement protégé. Pour fermer l'Explorateur, faites un clic droit sur le dossier du programme dans la fenêtre "Gérer Sandboxie", et sélectionnez "Fin du programme" dans le menu contextuel, ou fermez simplement l'Explorateur de la manière habituelle pour les programmes en cliquant sur le bouton rouge.
Deuxième voie. Il est encore plus facile d'exécuter le programme dans Sandboxie en cliquant simplement sur le dossier ou le raccourci du programme, puis en sélectionnant "Exécuter dans Sandbox" dans le menu contextuel.
Si vous avez créé plusieurs bacs à sable, Sandboxie vous demandera de sélectionner le bac à sable souhaité pour exécuter le programme. Sélectionnez l'environnement isolé, puis cliquez sur le bouton "OK".
Après cela, le programme est lancé dans un environnement isolé. Lorsque vous survolez un programme en cours d'exécution dans le bac à sable, une fine bordure colorée sera visible autour de la fenêtre du programme.
Récupération de fichiers dans Sandboxie
Le programme Sandboxie n'autorise pas les fichiers d'un programme exécuté dans un bac à sable à entrer dans le système d'exploitation sans votre permission. Tous les fichiers créés par le programme ou téléchargés depuis Internet seront par défaut supprimés après la fermeture du bac à sable.
En travaillant dans le programme Sandboxie, vous pouvez créer et enregistrer des fichiers dans des dossiers réguliers sur votre ordinateur. Ces fichiers ne seront pas visibles tant que vous n'aurez pas autorisé Sandboxie à transférer des données du bac à sable vers l'environnement normal.
Une fois que vous avez téléchargé des fichiers depuis Internet à l'aide d'un navigateur fonctionnant dans un environnement isolé, ces fichiers seront situés à l'endroit où les téléchargements sont enregistrés sur votre ordinateur.
Mais, vous ne verrez pas ces fichiers tant qu'ils sont dans le bac à sable. Vous devrez déplacer ces fichiers de l'environnement isolé vers l'environnement normal.
Dans Sandboxie, cela s'appelle "récupération" de fichiers. Il existe trois modes de récupération de fichiers : récupération immédiate, récupération rapide et récupération manuelle.
Récupération immédiate dans Sandboxie
C'est la meilleure façon de restaurer car il peut appeler automatiquement la fonction de restauration dès que les fichiers sont créés. Par défaut, le programme garde un œil particulièrement attentif sur les dossiers Téléchargements, Documents, Favoris et Bureau.
Vous pouvez ajouter d'autres dossiers à ces dossiers à votre discrétion dans les paramètres du programme (clic droit sur le dossier sandbox => "Paramètres Sandbox" => "Récupération").
Une fois le fichier enregistré sur l'ordinateur, Sandboxie affichera immédiatement la fenêtre "Récupération immédiate". Vous pouvez cliquer sur le bouton "Réparer", et si vous cliquez sur le bouton "Redémarrer", puis sur "Réparer et explorer" ou "Réparer et exécuter".
Récupération rapide dans Sandboxie
La récupération rapide transfère les fichiers du bac à sable de manière manuelle rapide. Vous pouvez configurer le programme pour restaurer les fichiers enregistrés dans le bac à sable lors de l'accès à ce mode.
Récupération manuelle dans Sandboxie
Si vous souhaitez effacer le bac à sable, cliquez avec le bouton droit sur le nom du bac à sable et sélectionnez l'élément de menu contextuel "Supprimer le contenu". Après cela, la fenêtre "Supprimer Sandbox" apparaît.
Dans cette fenêtre, vous pouvez "Restaurer dans le même dossier", "Restaurer dans n'importe quel dossier" ou "Ajouter un dossier" les fichiers situés dans l'environnement isolé. Si vous cliquez sur le bouton "Supprimer le bac à sable", tous les processus qu'il contient sont terminés et tout son contenu est supprimé.
L'utilisation du programme Sandboxie vous permet d'obtenir une plus grande sécurité lors de l'utilisation de votre ordinateur. Vous pouvez exécuter en toute sécurité certains programmes dans un environnement isolé, surfer sur Internet en toute sécurité.
Les outils de sandboxing ont également des programmes antivirus, tels que .
Conclusions des articles
Le programme Sandboxie exécute des applications dans un bac à sable, empêchant ainsi d'éventuels composants dangereux de pénétrer dans le système. De plus, avec l'aide de ce programme, vous pouvez tester de nouveaux programmes sans les installer sur votre ordinateur.
Nous avons donc décidé d'aborder brièvement ce sujet.
Essentiellement, un "sandbox" est un environnement logiciel isolé avec des ressources strictement limitées pour l'exécution de code de programme (en termes simples, l'exécution de programmes) dans cet environnement. D'une certaine manière, le "bac à sable" est tellement dépouillé, conçu pour isoler les processus douteux à des fins de sécurité.
Certains des bons antivirus et pare-feu (bien que, en règle générale, dans leur version payante) utilisent cette méthode à votre insu, certains vous permettent de gérer cette fonctionnalité (car cela crée toujours une consommation excessive de ressources), mais il existe également des programmes qui permettent implémenter des fonctionnalités similaires.
Nous allons parler de l'un d'entre eux aujourd'hui.
Sandboxie - Présentation, configuration et téléchargement
Comme vous l'avez compris d'après le titre et le sous-titre, nous parlerons du programme Bac à sable.
Malheureusement, c'est un shareware, mais la même période gratuite vous aidera à mieux connaître ce type d'outil, ce qui, peut-être, vous poussera à une étude plus détaillée à l'avenir, qui, pour la plupart, existe gratuitement et fournit plus de fonctionnalités. .
Ensuite, il vous sera proposé de suivre un court cours sur l'utilisation du programme, ou plutôt, ils vous expliqueront un peu comment cela fonctionne. Parcourez les six étapes, de préférence en lisant attentivement ce qui est écrit dans les instructions qui vous sont fournies.
En bref, en fait, vous pouvez exécuter n'importe quel programme dans un environnement isolé. Dans les instructions, si vous l'avez lu, une métaphore est assez bien donnée sur le sujet selon laquelle, en fait, le bac à sable est un morceau de papier transparent placé entre le programme et l'ordinateur, et la suppression du contenu du bac à sable est quelque peu similaire à jeter une feuille de papier usagée et son contenu, avec, ce qui est logique, le remplacement ultérieur par une nouvelle.
Comment configurer et utiliser le programme sandbox
Essayons maintenant de comprendre comment travailler avec. Pour commencer, vous pouvez essayer d'exécuter, par exemple, un navigateur dans un bac à sable. Pour ce faire, en fait, soit utilisez le raccourci qui est apparu sur votre bureau, soit utilisez les éléments de menu dans la fenêtre principale du programme : " DefaultBox - Exécuter dans Sandbox - Lancer le navigateur Web", ou si vous souhaitez lancer un navigateur qui n'est pas installé comme navigateur par défaut dans le système, utilisez le " Exécutez n'importe quel programme" et indiquez le chemin d'accès au navigateur (ou au programme).
Après cela, en fait, le navigateur sera lancé dans le "sandbox" et vous verrez ses processus dans la fenêtre Bac à sable. À partir de ce moment, tout ce qui se passe se passe, comme cela a été dit à plusieurs reprises, dans un environnement isolé et, par exemple, un virus qui utilise le cache du navigateur comme élément pour pénétrer dans le système, en fait, ne pourra pas vraiment faire n'importe quoi, car à la fin du travail avec l'environnement isolé .. Vous pouvez le nettoyer en jetant, comme le dit la métaphore, la feuille écrite et en passant à une nouvelle (sans toucher à l'intégrité de l'ordinateur en tant que tel) .
Pour effacer le contenu du bac à sable (si vous n'en avez pas besoin), dans la fenêtre principale du programme ou dans la barre d'état (c'est là que l'horloge et d'autres icônes) utilisez l'élément " DefaultBox - Supprimer le contenu".
Attention! Prendra sa retraite seulement cette partie qui a été écrit et travaillé dans un environnement isolé, c'est-à-dire que, par exemple, le navigateur lui-même ne sera pas supprimé de l'ordinateur, mais transféré sur celui-ci .. mmm .. relativement parlant, une copie du processus, un cache créé, des données enregistrées (comme les fichiers téléchargés / créés), etc., seront supprimés si vous ne les enregistrez pas.
Pour mieux comprendre le principe de fonctionnement, essayez d'exécuter plusieurs fois le navigateur et d'autres logiciels dans le bac à sable, téléchargez divers fichiers et supprimez / enregistrez le contenu à la fin du travail avec ce bac à sable, puis, par exemple, lancez le même navigateur ou programme déjà directement sur l'ordinateur. Croyez-moi, vous comprendrez mieux l'essence dans la pratique qu'elle ne peut être expliquée avec des mots.
Au fait, en cliquant avec le bouton droit de la souris sur le processus dans la liste des processus de la fenêtre Bac à sable Vous pouvez gérer l'accès à différents types de ressources informatiques sans passer par le bac à sable en sélectionnant " Accès aux ressources".
En gros, si vous voulez prendre un risque et donner, par exemple, le même Google Chrome, un accès direct à n'importe quel dossier de votre ordinateur, vous pouvez le faire dans l'onglet approprié ( Accès aux fichiers - Accès direct/complet) en utilisant le bouton " Ajouter".
Il est logique que la sandbox soit destinée non seulement et pas tant à travailler avec le navigateur et à parcourir toutes sortes de sites douteux, mais aussi à lancer des applications qui vous paraissent suspectes (surtout, par exemple, au travail (où souvent), lancer des fichiers douteux depuis des mails ou des clés USB) et/ou ne doit pas avoir accès aux principales ressources de l'ordinateur et/ou y laisser des traces inutiles.
D'ailleurs, ce dernier peut être un bon élément de protection, c'est-à-dire pour lancer une application dont les données doivent être complètement isolées et supprimées à la fin des travaux.
Bien sûr, il n'est pas nécessaire de supprimer les données du bac à sable à la fin et de travailler avec certains programmes uniquement dans un environnement isolé (la progression est mémorisée et il existe une possibilité de récupération rapide), mais c'est à vous de le faire ou ne pas.
Lorsque vous essayez d'exécuter certains programmes, vous pouvez rencontrer le problème ci-dessus. N'ayez pas peur d'elle, assez, pour commencer, cliquez simplement sur " d'accord", et, à l'avenir, ouvrez les paramètres du bac à sable en utilisant le " DefaultBox - Paramètres du bac à sable" et sur onglet " Transfert de fichiers" définissez une taille légèrement supérieure pour l'option de transfert de fichiers. 
Nous ne parlerons pas des autres paramètres maintenant, mais s'ils vous intéressent, vous pouvez facilement vous en occuper vous-même, car tout est en russe, c'est extrêmement clair et accessible. Eh bien, si vous avez des questions, vous pouvez leur demander dans les commentaires sur cette entrée.
Sur la carte SIM, vous pouvez peut-être passer à la postface.
Épilogue
Ah oui, on a presque oublié, bien sûr, que la sandbox consomme une quantité accrue de ressources machine, car elle grignote (virtualise) une partie de la capacité, ce qui, bien sûr, crée une charge différente du lancement direct. Mais, logiquement, la sécurité et/ou la confidentialité pourraient en valoir la peine.
Incidemment, l'utilisation de bacs à sable, chrooter ou la virtualisation, fait en partie référence à la méthodologie de sécurité sans antivirus que nous .
Sur la sim, peut-être tout. Comme toujours, si vous avez des questions, des réflexions, des ajouts, etc., n'hésitez pas à commenter cet article.
Dans le processus de publication de la dernière partie de la série d'articles "Lies, Big Lies and Antiviruses", il s'est avéré que le public de Habra est désastreusement ignorant dans le domaine des bacs à sable antivirus, ce qu'ils sont et comment ils fonctionnent. Ce qui est drôle dans cette situation, c'est qu'il n'y a presque aucune source d'information fiable sur cette question sur le Web. Seulement un tas d'enveloppes marchandes et de textes de je ne comprends pas qui dans le style "une grand-mère a dit, écoutez ici". Je vais devoir combler les lacunes.
Définitions.
Alors, bac à sable. Le terme lui-même ne vient pas du bac à sable des enfants, comme certains pourraient le penser, mais de celui utilisé par les pompiers. Il s'agit d'un réservoir de sable où vous pouvez travailler en toute sécurité avec des objets inflammables ou y jeter quelque chose qui brûle déjà sans craindre de mettre le feu à autre chose. Reflétant l'analogie de cette structure technique avec le composant logiciel, un bac à sable logiciel peut être défini comme "un environnement d'exécution isolé avec des droits contrôlés". C'est ainsi que fonctionne le bac à sable de la machine Java, par exemple. Et tout autre bac à sable aussi, quelle que soit la destination.
En ce qui concerne les bacs à sable antivirus, dont l'essence est de protéger le système de travail principal contre les contenus potentiellement dangereux, il existe trois modèles de base pour isoler l'espace du bac à sable du reste du système.
1. Isolation basée sur la virtualisation complète. L'utilisation de toute machine virtuelle comme couche protectrice sur le système d'exploitation invité, où le navigateur et d'autres programmes potentiellement dangereux sont installés, à travers lesquels l'utilisateur peut être infecté, offre un niveau de protection assez élevé pour le système de travail principal.
Les inconvénients de cette approche, outre la taille monstrueuse de la distribution et la forte consommation de ressources, résident dans la gêne des échanges de données entre le système principal et la sandbox. De plus, vous devez constamment rétablir l'état du système de fichiers et du registre à son état d'origine afin de supprimer l'infection du bac à sable. Si cela n'est pas fait, alors, par exemple, les agents de spambot continueront leur travail à l'intérieur du bac à sable comme si de rien n'était. Il n'y a rien pour les bloquer dans le bac à sable. De plus, il n'est pas clair que faire des supports portables (lecteurs flash, par exemple) ou des jeux téléchargés sur Internet, dans lesquels des signets malveillants sont possibles.
Un exemple d'approche est Invincea.
2. Isolation basée sur la virtualisation partielle du système de fichiers et du registre. Il n'est pas du tout nécessaire d'emporter un moteur de machine virtuelle avec vous, vous pouvez pousser des objets de système de fichiers et de registre en double vers des processus dans le bac à sable, en plaçant des applications sur la machine de travail de l'utilisateur dans le bac à sable. Une tentative de modification de ces objets ne modifiera que leurs copies à l'intérieur du bac à sable, les données réelles ne seront pas affectées. Le contrôle des droits rend impossible l'attaque du système principal depuis l'intérieur du bac à sable via les interfaces du système d'exploitation.
Les inconvénients de cette approche sont également évidents - l'échange de données entre les environnements virtuels et réels est difficile, un nettoyage constant des conteneurs de virtualisation est nécessaire pour remettre le bac à sable dans son état d'origine non infecté. De plus, des pannes ou le contournement de ce type de bac à sable et la diffusion de codes de programmes malveillants dans le système principal non protégé sont possibles.
Un exemple d'approche est SandboxIE, BufferZone, ZoneAlarm ForceField, bac à sable Kaspersky Internet Security, bac à sable Comodo Internet Security, bac à sable Avast Internet Security.
3. Isolement basé sur des règles. Toutes les tentatives de modification des objets du système de fichiers et du registre ne sont pas virtualisées, mais sont considérées en termes d'un ensemble de règles internes de l'outil de protection. Plus cet ensemble est complet et précis, plus le programme offre une protection contre l'infection du système principal. Autrement dit, cette approche est une sorte de compromis entre la commodité de l'échange de données entre les processus à l'intérieur du bac à sable et le système réel et le niveau de protection contre les modifications malveillantes. Le contrôle des droits rend impossible l'attaque du système principal depuis l'intérieur du bac à sable via les interfaces du système d'exploitation.
Les avantages de cette approche incluent également l'absence de nécessité de restaurer constamment le système de fichiers et le registre à son état d'origine.
Les inconvénients de cette approche sont la complexité logicielle de la mise en œuvre de l'ensemble de règles le plus précis et le plus complet, la possibilité d'une annulation seulement partielle des modifications dans le bac à sable. Comme tout bac à sable fonctionnant sur la base d'un système de production, il est possible de percer ou de contourner l'environnement protégé et de sortir des codes malveillants dans l'environnement d'exécution principal non protégé.
Un exemple d'approche est DefenseWall, Windows Software Restriction Policy, Limited User Account + ACL.
Il existe des approches mixtes pour isoler les processus sandbox du reste du système, basées à la fois sur des règles et sur la virtualisation. Ils héritent à la fois des avantages des deux méthodes et des inconvénients. De plus, les inconvénients prévalent en raison des particularités de la perception psychologique des utilisateurs.
Des exemples d'approche sont GeSWall, Windows User Account Control (UAC).
Modalités de décision de placement sous protection.
Passons aux méthodes permettant de décider de placer ou non les processus sous protection sandbox. Il y en a trois de base :
1. Basé sur les règles. C'est-à-dire que le module décisionnel regarde la base de règles internes pour lancer certaines applications ou fichiers potentiellement dangereux et, en fonction de cela, lance des processus dans le bac à sable ou en dehors de celui-ci, sur le système principal.
Les avantages de cette approche sont le plus haut niveau de protection. Les fichiers de programmes malveillants provenant d'endroits potentiellement dangereux via le bac à sable et les fichiers non exécutables contenant des scripts malveillants sont fermés.
Inconvénients - il peut y avoir des problèmes d'installation des programmes qui sont passés par le bac à sable (bien que la liste blanche rende cette tâche beaucoup plus facile), la nécessité de démarrer manuellement les processus dans la zone principale de confiance pour mettre à jour les programmes qui ne se mettent à jour qu'en eux-mêmes (par exemple, Mozilla FireFox, Utorrent ou Opéra).
Des exemples de programmes avec cette approche sont DefenseWall, SandboxIE, BufferZone, GeSWall.
2. Basé sur les droits des utilisateurs. C'est ainsi que fonctionnent le compte d'utilisateur limité Windows et la protection basée sur SRP et ACL. Lorsqu'un nouvel utilisateur est créé, il se voit accorder des droits d'accès à certaines ressources, ainsi que des restrictions d'accès à d'autres. Si vous avez besoin qu'un programme fonctionne avec des ressources interdites pour un utilisateur donné, vous devez soit vous reconnecter au système sous un utilisateur disposant d'un ensemble de droits approprié et exécuter le programme, soit l'exécuter seul sous un tel utilisateur, sans re- login de l'utilisateur principal (Fast User Switch).
Les avantages de cette approche sont un niveau relativement bon de sécurité globale du système.
Inconvénients - non-trivialité de la gestion de la protection, possibilité d'infection via des ressources autorisées à être modifiées, car le module de prise de décision ne suit pas ces changements.
3. Basé sur des approches heuristiques. Dans ce cas, le moteur de décision "regarde" l'exécutable et essaie de deviner à partir de données indirectes s'il doit l'exécuter sur le système hôte ou dans le bac à sable. Les exemples sont Kaspersky Internet Security HIPS, Comodo Internet Security sandbox.
L'avantage de cette approche est qu'elle est plus transparente pour l'utilisateur que basée sur des règles. Plus facile à entretenir et à mettre en œuvre pour l'entreprise de fabrication.
Inconvénients - l'infériorité d'une telle protection. Outre le fait que l'heuristique du module de décision peut "manquer" sur le module exécutable, de telles décisions démontrent une résistance quasi nulle aux fichiers non exécutables contenant des scripts malveillants. Eh bien, plus quelques problèmes supplémentaires (par exemple, avec l'installation d'extensions malveillantes à partir du navigateur lui-même, à partir du corps de l'exploit).
Par ailleurs, je voudrais attirer l'attention sur la méthode d'utilisation du bac à sable comme moyen d'heuristique, c'est-à-dire lancer un programme pendant un certain temps, suivi d'une analyse des actions et de l'adoption d'une décision générale sur la malveillance - cette approche ne peut pas être qualifiée de bac à sable antivirus à part entière. Eh bien, de quel type de bac à sable antivirus s'agit-il, qui n'est installé que pour une courte période de temps avec la possibilité de le supprimer complètement?
Modes d'utilisation des bacs à sable antivirus.
Il n'y en a que deux principaux.
1. Mode de protection en temps réel. Lors du démarrage d'un processus qui peut constituer une menace pour le système principal, il est automatiquement mis en bac à sable.
2. Mode de protection manuel. L'utilisateur décide indépendamment du lancement d'une application à l'intérieur du bac à sable.
Les bacs à sable dont le mode de fonctionnement principal est la "protection en temps réel" peuvent également avoir un mode de démarrage manuel. Ainsi que l'inverse.
Le bac à sable basé sur des règles se caractérise par l'utilisation du mode de protection en temps réel, car la communication entre le système principal et les processus à l'intérieur du bac à sable est totalement transparente.
Les bacs à sable heuristiques se caractérisent également par l'utilisation du mode de protection en temps réel, car l'échange de données entre le système principal et les processus à l'intérieur du bac à sable est absolument insignifiant ou se résume à cela.
Les bacs à sable non heuristiques avec isolation basée sur la virtualisation partielle se caractérisent par un mode de protection manuel. Cela est dû à l'échange difficile de données entre les processus à l'intérieur du bac à sable et le système de travail principal.
Exemples:
1. DefenseWall (bac à sable d'isolation basé sur des règles) a le mode de fonctionnement principal "permanent sur les règles". Cependant, le lancement manuel d'applications à l'intérieur du bac à sable, ainsi qu'à l'extérieur de celui-ci, est présent.
2. SandboxIE (sandbox et isolé basé sur une virtualisation partielle) a le principal mode de fonctionnement "manuel". Mais lors de l'achat d'une licence, vous pouvez activer le mode "permanent sur les règles".
3. Le sandbox Comodo Internet Security (sandbox avec isolation basée sur la virtualisation partielle) a un mode de fonctionnement de base "heuristique permanent". Cependant, l'exécution manuelle d'applications à l'intérieur du bac à sable, ainsi qu'à l'extérieur, est présente.
Ce sont essentiellement les choses de base que tout professionnel qui se respecte devrait savoir sur les bacs à sable antivirus. Chaque programme individuel a ses propres caractéristiques de mise en œuvre, que vous devrez vous-même trouver, comprendre et évaluer les avantages et les inconvénients qu'il comporte.
