Programy w piaskownicy

Piaskownica (ang. sandbox) to metoda uruchamiania programów w środowisku, które ma bardzo ograniczony dostęp do zasobów sprzętowych komputera i systemu operacyjnego. Programy w piaskownicy korzystają z wyizolowanych obszarów pamięci operacyjnej i masowej. Wszystkie dane i instrukcje pozostają w tej „klatce” i nie oddziałują na resztę środowiska. Po zamknięciu piaskownicy informacje mogą być kasowane albo przechowywane w izolacji do czasu następnej sesji.

Piaskownica jest bardzo dobrą formą ochrony przed zagrożeniami płynącymi z internetu. Nawet jeśli szkodliwy kod przedostanie się przez zabezpieczenia przeglądarki, co zwykle odbywa się poprzez wykorzystanie luk obecnych w przestarzałych pluginach, nie będzie mógł zainfekować systemu. Piaskownica pozwala także na bezpieczne otwieranie plików z pochodzących z niewiadomych źródeł, przede wszystkim plików MS Office czy PDF. Nawet jeśli w pliku jest exploit wykorzystujący nieznaną lukę w Adobe Readerze, piaskownica nie dopuści do rozprzestrzenienia się złośliwego kodu w systemie.

Zagrożenia nie stanowią także niestabilne aplikacje, gdyż awaria programu w piaskownicy nie powoduje zawieszenia systemu.

Najlepszą implementacją tego mechanizmu przeznaczoną do zastosowań indywidualnych jest bezpłatna aplikacja Sandboxie. Choć pierwotnie służyła do izolowania Internet Explorera, dziś pozwala na uruchomienie dowolnego programu.

Wszystkie dane zapisywane przez izolowane aplikacje pozostają w chronionym folderze C:\Sandboxie. Do niego są kopiowane także wszystkie pliki, których potrzebuje izolowana aplikacja, jeśli jest uruchamiana bezpośrednio z systemu plików. Dzięki temu wszystkie zmiany, jakie wprowadza np. w swoich plikach konfiguracyjnych czy folderze plików tymczasowych, nie wpływają na działanie aplikacji w normalnym trybie – po uruchomieniu aplikacji w standardowy sposób modyfikacje po prostu nie będą widoczne. Kopie plików z izolowanego folderu można w każdej chwili usunąć. Twórcy programu nie zapomnieli o mechanizmie wydobywania potrzebnych plików z piaskownicy, np. aplikacji pobranych za pomocą przeglądarki czy utworzonych dokumentów, które można przenieść do części systemu plików pozostającej pod bezpośrednią kontrolą Windows.

W warsztacie pokażemy krok po kroku, jak można użyć programu Sandboxie do zabezpieczenia pracy przeglądarki internetowej, a także jak utworzyć osobną piaskownicę dla dowolnej aplikacji i zdefiniować dla niej prawa dostępu do zasobów systemu operacyjnego.

W warsztacie pokazujemy wykorzystanie niezarejestrowanej wersji Sandboxie, którą można bezpłatnie pobrać ze strony producenta. Brakuje w niej istotnej funkcji – automatycznej izolacji wskazanego programu. Nie przeszkadza to jednak w używaniu Sandboxie do zabezpieczania się przed zagrożeniami z sieci i testowania programów pochodzących z nieznanych źródeł.

Podczas instalacji aplikacji, w oknie powitalnym wybierz język Polish, następnie zatwierdzaj wszystkie komunikaty. Po skopiowaniu aplikacji pojawi się okno z informacją o potrzebie zainstalowania sterownika systemowego, który jest niezbędny do izolacji procesów. Kliknij Dalej, a następnie Zakończ, aby zrestartować system, co jest niezbędne do dokończenia instalacji sterownika.

Po ponownym uruchomieniu komputera aplikacja zasugeruje dostosowanie własnych ustawień pod kątem wykrytego w systemie oprogramowania. Kliknij OK, aby zaakceptować zmiany. Z funkcji izolacji można skorzystać nawet bez zaglądania do głównego okna aplikacji. Instalator tworzy na pulpicie skrót, który pozwala na bezpieczne korzystanie z sieci.

O tym, że program działa w piaskownicy, informuje żółta ramka widoczna wokół okna aplikacji, która pojawia się po wskazaniu myszą belki programu. Jeśli na belce jest widoczna nazwa aplikacji, to przed nią Sandboxie wstawia znak #, co również jest informacją o izolacji aplikacji od systemu operacyjnego. Jeśli żółta ramka irytuje, można wyłączyć ją w ustawieniach.

W tym celu kliknij w oknie Sandboxie prawym klawiszem myszy pole Piaskownica DefaultBox i z menu kontekstowego wybierz polecenie Ustawienia piaskownicy. Następnie w oknie konfiguracyjnym: DefaultBox, w zakładce Wygląd, odznacz opcję: Wyświetlaj ramkę wokół okna. Jeśli dodatkowo zaznaczysz Nie wyświetlaj znaczników Sandboxie na pasku tytułu okna aplikacja w piaskownicy nie będzie różniła się wizualnie od innych programów Windows.

W trybie piaskownicy działają też wtyczki, w tym niebezpieczny plugin Flash. Można to zobaczyć, przeglądając procesy widoczne w oknie głównym Sandboxie. Do katalogu roboczego piaskownicy (domyślnie C:\Sandboxie) kopiowane są także foldery, w których przeglądarka zapisuje pliki tymczasowe, a także folder Downloads, do którego kopiuje pobrane pliki.

Po zakończeniu pobierania pliku pojawi się okno z informacją o możliwości przeniesienia pliku do domyślnego folderu z pobranymi plikami. W terminologii Sandboxie operacja ta nazywa się Natychmiastowe przywracanie. Jeśli chcesz zapisać plik w domyślnym folderze, kliknij Przywróć. Możesz też wskazać inny katalog, klikając np. Przywróć do innego folderu.

Możesz także przywrócić wiele plików naraz. W oknie głównym kliknij nazwę Piaskownica DefaultBox prawym klawiszem myszy, a potem z menu kontekstowego wybierz Szybkie przywracanie. W oknie zobaczysz listę plików zapisanych przez aplikację. Aby przenieść je do domyślnej lokalizacji, kliknij Przywróć do tego samego folderu.

W piaskownicy Sandboxie można uruchomić dowolny program w celu wyizolowania go od systemu operacyjnego. Można to zrobić na dwa sposoby: za pomocą okna programu oraz systemowego menu kontekstowego. W pierwszym przypadku wywołaj menu kontekstowe piaskownicy Piaskownica DefaultBox i wybierz kolejno Uruchom w piaskownicy, Uruchom dowolny program.

Pojawi się okno, gdzie w widocznym polu możesz wpisać nazwę aplikacji, którą chcesz uruchomić, lub nacisnąć Przeglądaj i wskazać interesujący plik (ostatni zabieg przydaje się zwłaszcza podczas instalowania aplikacji wewnątrz piaskownicy). Drugim sposobem jest wskazanie programu w oknie Eksploratora Windows i wybranie z menu kontekstowego polecenia Uruchom w piaskownicy.

Jeśli za pomocą opisanego wyżej polecenia uruchomisz instalator aplikacji, wszystkie dodawane przez niego pliki oraz zmiany w plikach konfiguracyjnych systemu pojawią się w przestrzeni izolowanej. Pliki aplikacji oraz kopie plików konfiguracyjnych znajdziesz w katalogu roboczym piaskownicy. Możesz przejrzeć je po wybraniu polecenia Eksploruj zawartość z menu kontekstowego Piaskownica DefaultBox.

Po uruchomieniu instalatora za pomocą polecenia opisanego w kroku 2 pojawi się okno Uruchom w Sandboxexd z wybraną piaskownicą DefaultBox. Jeśli program ma być zainstalowany standardowo, np. z możliwością kopiowania plików poza katalogiem użytkownika, zaznacz Uruchom jako administrator PC. Program z piaskownicy nie pojawi się w menu Start ani na pulpicie.

Najprostszym sposobem uruchomienia aplikacji zainstalowanej w piaskownicy jest otworzenie w Eksploratorze okna z katalogiem C:\Sandboxie, wpisanie w wyszukiwarce nazwy programu i uruchomienie odpowiedniego pliku z rozszerzeniem .exe. Wszystkie aplikacje zlokalizowane w wymienionym katalogu automatycznie startują w piaskownicy.

Program zainstalowany wewnątrz piaskownicy oraz każdy zapisany tam plik może być wykorzystywany przez dowolny okres. Po zakończeniu testów i zweryfikowaniu pracy oprogramowania możesz skasować te dane. Aby to zrobić, wyczyść piaskownicę ze wszystkich zapisanych plików, klikając polecenie Usuń zawartość znajdujące się w menu kontekstowym.

Pojawi się okno przywracania plików, w którym znajdziesz elementy, które można przenieść do systemu plików Windows. Poniżej listy znajduje się informacja o liczbie plików w piaskownicy i zajmowanym przez nie miejscu. Aby skasować dane, kliknij Usuń z piaskownicy. Sprawi to, że przepadną wszystkie dane, każdorazowo warto więc rozważyć utworzenie osobnej piaskownicy dla interesującego programu.

Aby utworzyć nową piaskownicę, w głównym oknie Sandboxie kliknij w menu Piaskownica i Utwórz nową piaskownicę. W oknie, które się pojawi, wpisz nazwę, i kliknij OK. Następnie kliknij tytuł nowej piaskownicy prawym klawiszem myszy i z menu kontekstowego wybierz polecenie Ustawienia piaskownicy, aby dostosować wirtualną przestrzeń do potrzeb aplikacji.

W pierwszej kolejności rozwiń zakładkę Przywróć i kliknij Natychmiastowe przywracanie. Jeśli chcesz, by po zapisaniu pliku przez aplikację w piaskownicy pojawiało się okno pozwalające na przeniesienie go do systemu plików Windows, zaznacz Włącz natychmiastowe przywracanie. W zakładce Szybkie przywracanie możesz wskazać foldery, do których Sandboxie może przenosić pliki z piaskownicy.

Piaskownicę możesz skonfigurować tak, by w chwili zamknięcia danego programu zamykane były również wszystkie procesy uruchomione przez tę aplikację. Kliknij zakładkę Zatrzymanie programu, Wiodące programy, naciśnij Dodaj program i w oknie dialogowym Wybierz nazwę programu.... Kliknij Otwórz/Wybierz plik i wskaż plik uruchomieniowy aplikacji, która ma działać w piaskownicy.

Kolejnym krokiem niezbędnym do poprawnego działania bardziej złożonych aplikacji jest uzgodnienie sposobu korzystania przez izolowany program z zasobów systemu i zainstalowanych w nim aplikacji. Sandboxie ma predefiniowane ustawienia dla wielu popularnych programów. Aby je przejrzeć, rozwiń gałąź Aplikacje i kliknij np. Przeglądarka internetowa i Firefox.

W przypadku Firefoksa możesz np. umożliwić izolowanej przeglądarce dostęp do zapisanych haseł lub zakładek. Pełną listę programów znajdziesz w sekcji Wszystkie aplikacje. Ułatwienia obejmują np. dostęp do pliku konfiguracyjnego czy wybranych wpisów w rejestrze. Aby przekonać się, jakie uprawnienia są przewidziane dla danego programu, kliknij jego nazwę, a następnie przycisk Widok kodu.

Jeśli aplikacja, którą planujesz uruchamiać w piaskownicy, nie ma predefiniowanych uprawnień, możesz dobrać je samodzielnie za pomocą zakładki Dostęp do zasobu, gdzie znajdują się panele pozwalające na udostępnienie programowi w piaskownicy folderu roboczego, pojedynczego pliku konfiguracyjnego, a nawet określonych wpisów w rejestrze.

Sandboxie pozwala także na kontrolę dostępu do internetu. Jeśli nie chcesz, by izolowany program miał dostęp do sieci, rozwiń gałąź Ograniczenia i w zakładce Dostęp do internetu kliknij przycisk Dodaj program, po czym wskaż plik uruchomieniowy aplikacji, która nie może łączyć się z siecią. Jeśli piaskownica ma być kompletnie odizolowana od sieci, kliknij Blokuj wszystkie programy.

Ostatnim parametrem, który należy ustawić w celu zapewnienia poprawnego działania wybranego programu, jest limit wielkości plików przenoszonych do katalogu roboczego Sandboxie. Jest to konieczne, ponieważ izolowane aplikacje nie mają dostępu do zasobów na dysku systemowym. Jeśli umieszczona w piaskownicy aplikacja wymaga korzystania z dużych plików, np. jest to gra zajmująca na dysku kilkanaście gigabajtów, kliknij Migracja plików i zwiększ odpowiednio wartość widniejącą w polu: Nie kopiuj większych plików niż.