Što je Windows Sandbox? Kako vam može pomoći s problemima sigurnosti?

Nepoznati ili sumnjivi programi mogu uzrokovati cijeli niz problema na glavnom sustavu, od zlonamjernog softvera do neželjenih promjena postavki sustava. Jedna učinkovita zaštita je tzv. pješčanik („sandbox“), koji omogućuje programima izvođenje u izoliranom i zaštićenom virtualnom okruženju, odvojeno od ostatka sustava.

Godinama su korisnici Windowsa koristili alate poput Sandboxieja, koji prati sve promjene koje program napravi i poništava ih po izlasku, vraćajući sustav u izvorno stanje. Za još veću razinu izolacije korišteni su virtualni strojevi (s VirtualBoxom ili ugrađenom Microsoftovom Hyper-V tehnologijom) u koje smo zasebno instalirali operativni sustav i tamo mogli pokretati opasne programe - s mogućnošću vraćanja stanja virtualnog sustava u izvorno stanje u bilo kojem trenutku. Ovaj pristup je vrlo pouzdan, ali zahtijeva više znanja i vremena za postavljanje i održavanje dodatnog sustava.

Što je Windows Sandbox?

Windows Sandbox je izolirano okruženje radne površine s Windows operativnim sustavom dizajnirano za sigurno testiranje programa i datoteka. Pokreće se kao privremeni lagani virtualni stroj unutar vašeg sustava. Koristi hardverski ubrzanu virtualizaciju (Hyper-V) kako bi se potpuno odvojio od glavnog operativnog sustava. Svaki put kada ga pokrenemo, dobivamo potpuno čist i prazan sustav koji se ponaša kao svježe instaliran Windows, a svi instalirani programi i datoteke u sandboxu nepovratno se gube kada ga zatvorimo. Sandbox je dio Windowsa 10/11 (dostupan u Pro, Enterprise i Education izdanjima, ali ne i u Home) i ne zahtijeva nikakvu dodatnu licencu ili instalaciju drugog operativnog sustava.

Ako imate instaliranu verziju sustava Windows 10/11 Home, kasnije je možete promijeniti u podržanu verziju pomoću skripte koja se nalazi na mreži (massgrave) ili kupnjom nove licence.

Kako omogućiti i koristiti Windows Sandbox?

Za korištenje Sandboxa potreban vam je kompatibilan sustav. To je Windows 10 (1903 ili noviji) ili Windows 11 s Pro, Enterprise ili Education licencom i podrškom za virtualizaciju hardvera. Moderni Intel/AMD procesori uglavnom podržavaju tehnologije virtualizacije (Intel VT-x, AMD-V, itd.), ali ovu opciju često je potrebno omogućiti u postavkama BIOS-a/UEFI-ja.

1. U sustavu Windows 10/11 otvorite upravljačku ploču ili okvir za pretraživanje Start i potražite "Uključivanje ili isključivanje značajki sustava Windows" (Uključivanje ili isključivanje značajki sustava Windows). Na popisu značajki pronađite Windows Sandbox i označite potvrdni okvir. Kliknite U redu i ponovno pokrenite računalo kada se od vas zatraži instaliranje značajke.
2. Nakon prijave u Windows, otvorite izbornik Start i upišite Windows SandboxKliknite ikonu Windows Sandbox. Sustav će se učitati na nekoliko sekundi, a zatim će se otvoriti prozor s virtualnom radnom površinom sustava Windows. Vidjet ćete radnu površinu sličnu vašoj, ali je to zaseban privremeni sustav s zadanim postavkama (možda ćete primijetiti da su instalirani samo zadani programi i preglednik Edge, na primjer).
3. U sandboxu sada možete instalirati programe ili otvarati datoteke gotovo točno kao što biste to učinili na običnom sustavu. Možete instalirati sumnjivu aplikaciju i testirati je. Čak i ako sadrži virus, ostat će unutar sandboxa. Prema zadanim postavkama, sandbox sustav ima pristup internetu (putem virtualne mreže), što olakšava prijenos datoteka ili ažuriranja, ali budite oprezni, jer zlonamjerni kod također može imati pristup mreži. Datoteke između hosta i sandboxa možete razmjenjivati pomoću međuspremnika. Na primjer, kopirajte datoteku na glavnom sustavu (Ctrl+C) i zalijepite je unutar sandboxa (Ctrl+V). Napredniji korisnici također mogu omogućiti automatsko mapiranje pojedinačnih mapa hosta na sandbox pripremom konfiguracijske .wsb datoteke.
4. Kada završite s testiranjem, jednostavno zatvorite prozor Windows Sandboxa (kliknite X kao i obično). Pojavit će se upozorenje da će sav sadržaj sandboxa biti izbrisan. Potvrdite s U reduVirtualni sustav će se isključiti i sve u njemu bit će trajno izbrisano. Vaš glavni Windows ostat će točno onakav kakav je bio prije pokretanja sandboxa, kao da se ništa nije dogodilo. Ako kasnije ponovno pokrenete sandbox, dobit ćete potpuno novu instancu Windowsa, bez traga vaše prethodne sesije.

Ako želite zadržati bilo koji izlaz (preuzetu datoteku) u sandboxu, morate ga kopirati iz sandboxa na host (npr. putem međuspremnika ili u dijeljenu mapu) prije nego što ga zatvorite. Inače će se podaci izgubiti kada zatvorite prozor sandboxa.

Windows Sandbox, Sandboxie, VirtualBox ili...?

Windows Sandbox nije jedino rješenje za izolaciju zlonamjernog ili neželjenog softvera.

Alat Pješčanik Radi na razini operativnog sustava. Pokreće aplikaciju unutar sandboxa presrećući joj pristup sustavu. Sve promjene koje program napravi (npr. unosi u registar, datoteke) Sandboxie preusmjerava u izolirano područje i poništava ih kada se zatvore, čime se sustav vraća u izvorno stanje. Prednost Sandboxieja je što je nezahtjevan i radi i na Windows Home (i starijim verzijama Windowsa), te omogućuje izolaciju pojedinačnih programa bez pokretanja cijelog sustava. Osim toga, više programa ili više zasebnih sandboxa može se paralelno izvoditi u Sandboxie okruženju.

Potpuni virtualni stroj (VM), bilo putem otvorenog koda VirtualBoxa, VMwarea ili ugrađenog Hyper-V-a, znači da ručno stvaramo virtualno računalo i na njega instaliramo kompletan operativni sustav (Windows ili Linux). Takvo rješenje pruža potpunu izolaciju, jer VM radi odvojeno od hosta i ima vlastiti virtualni disk, hardver i tako dalje. Osim toga, korisnik ima potpunu kontrolu nad virtualnim sustavom: može ga održavati u radu dulje vrijeme, trajno instalirati softver na njega, mijenjati postavke itd.

Ključna prednost VM-a je mogućnost spremanja stanja. U VirtualBoxu/VMwareu/Hyper-V-u možete stvoriti snimku stanja (kontrolnu točku) sustava i kasnije se vratiti na nju, što je vrlo korisno za testiranje. Na primjer, ako niste sigurni u vjerodostojnost nepoznatog programa, možete napraviti snimku stanja prije instalacije, a nakon što je instalacija/testiranje završeno, možete vratiti sustav na spremljeno stanje.

Još jedna prednost pravih virtualnih strojeva je ta što možete imati više virtualnih strojeva koji rade istovremeno (ako imate dovoljno resursa) i na njima pokretati različite sustave, poput različitih verzija sustava Windows ili Linux. Dok Windows sandbox uvijek pokreće istu verziju sustava Windows kao i na hostu.

Naravno, virtualni strojevi imaju i nedostatke. Zahtijevaju dodatni prostor na disku (nekoliko gigabajta za svaki virtualni stroj) i više memorije (virtualni stroj rezervira, na primjer, 4+ GB RAM-a, koji se uzima od glavnog računala). Postavljanje je također dulje, jer prvo morate ručno instalirati operativni sustav i brinuti se o njegovim ažuriranjima i održavanju, dok Windows Sandbox sve to radi automatski u nekoliko sekundi.

Za kratkoročno testiranje ili analizu sumnjivih datoteka, Windows Sandbox je puno praktičniji jer ga možete uključiti i isključiti u bilo kojem trenutku bez puno prethodnog rada. Međutim, ako želite pokrenuti program dulje vrijeme, napraviti trajnije promjene ili pokrenuti cijeli poslužitelj izolirano, na primjer, tada je potpuni virtualni stroj bolje rješenje.

Hyper-V i perzistentni testni sustavi

Windows Sandbox ima za cilj učiniti testiranje u izolaciji što bržim i jednostavnijim, što znači da nije prikladan za sve situacije. Napredniji korisnici koji već imaju Windows 10/11 Pro ili Enterprise mogu iskoristiti ugrađenu Hyper-V platformu i ručno stvoriti vlastite virtualne strojeve za testiranje.

Ovo je u biti sličan pristup sandboxingu, ali s više mogućnosti prilagodbe u zamjenu za malo više postavljanja unaprijed. Hyper-V vam omogućuje stvaranje jednog ili više virtualnih strojeva na vašem računalu. Svaki od njih može biti potpuno izoliran od mreže i drugih računala (ako odredite), što je idealno za sigurno testiranje vrlo opasnih programa bez internetske veze. U konzoli Hyper-V Managera možete konfigurirati virtualni hardver (CPU, RAM, disk, mrežna sučelja itd.) za svaki virtualni stroj i, na primjer, odabrati da se virtualno mrežno sučelje ne povezuje s vanjskom mrežom, čime se stvara izolirano zatvoreno okruženje.

Nakon što stvorite novi VM, instalirate željeni operativni sustav (opet Windows ili nešto drugo). Za to će vam trebati instalacijska ISO datoteka ili unaprijed pripremljena slika sustava. Nakon instalacije, VM tretirate kao zasebno računalo. Možete ga uključivati i isključivati po potrebi, a svi podaci u njemu ostaju sačuvani dok ih sami ne izbrišete. To znači da na takav testni VM možete instalirati cijelu kolekciju programa i testirati ih tijekom duljeg vremenskog razdoblja bez potrebe da ih ponovno instalirate svaki put kada se pokrenete (kao kod Windows Sandboxa).

Posebna prednost korištenja Hyper-V-a (ili drugih VM platformi) je mogućnost stvaranja kontrolnih točaka ili snimaka stanja sustava. Na primjer, kada instalirate čisti operativni sustav i osnovna ažuriranja u VM, možete snimiti izvorno stanje. Zatim, tijekom sljedećih nekoliko dana, instalirate i testirate različite programe. Ako se pokaže da je neki štetan ili uzrokuje probleme, možete jednostavno vratiti VM u čisto stanje i tako "očistiti" sustav od posljedica testiranja.

Ovo je slično korištenju sandboxa, osim što ovdje imate mogućnost odabira točke vraćanja i možete pohraniti nekoliko različitih stanja (jedno s osnovnom konfiguracijom, drugo nakon instaliranja određenih ažuriranja itd.). Naravno, takva fleksibilnost znači da morate dodijeliti dovoljno prostora na disku za VM (snimke zauzimaju dodatni prostor) i pratiti ažuriranja sustava unutar VM-a, jer neće automatski ažurirati sustav kao što to radi Windows Sandbox pri svakom pokretanju.

U praksi mnogi napredni korisnici postavljaju cijele virtualne laboratorije. Na snažnijem računalu ili poslužitelju može istovremeno raditi nekoliko virtualnih strojeva, na primjer, jedan s Windowsima 10 bez mreže za testiranje virusa, drugi s Windows Serverom za testiranje postavki poslužitelja, treći s Linuxom za razvoj i tako dalje.

Za postavljanje Hyper-V okruženja u sustavu Windows Pro, sve što trebate učiniti je omogućiti Hyper-V (slično onome što smo opisali za Windows Sandbox) i pokrenuti alat Hyper-V Manager, u kojem stvarate nova virtualna okruženja. Postupak instaliranja operacijskog sustava u ovom okruženju isti je kao i na fizičkom računalu.

Odaberite pravi alat za vas

Windows Sandbox je izvrstan alat za brzo i jednostavno testiranje programa u sigurnom okruženju, posebno kada želimo nešto testirati jednom ili povremeno i ne želimo gubiti vrijeme na postavljanje cijelog virtualnog stroja. Za mnoge IT stručnjake postao je nezamjenjiv prilikom provjere nepoznatih privitaka, sumnjivog softvera ili prilikom posjeta rizičnim web stranicama. Jednostavno ga pokrenu, naprave što trebaju i zatvore, bez brige da će išta "procuriti" u produkcijski sustav. S druge strane, klasični virtualni strojevi (Hyper-V, VirtualBox itd.) ostaju važni za dublje testiranje i razvoj, gdje nam je potreban dugotrajniji sustav, različita okruženja ili mogućnost snimanja stanja sustava.