Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige Anwendungen

[DrWindows]

Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige Anwendungen

Im August tauchten erstmals Hinweise auf, dass Microsoft an einer neuen Sicherheits-Funktion für Windows 10 arbeitet, die seinerzeit "InPrivateDesktop" hieß. Nun wurde "Windows Sandbox" - so der endgültige Name - ganz offiziell vorgestellt. Mit einer der nächsten Insider-Builds wird die...

Klicke hier, um den Artikel zu lesen

 

[Setter]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

So wie ich es verstehe, wird die Sandbox-Funktion keine virtuelle Maschine ersetzten können. Zum Testen braucht es gelegentlich auch mehr als nur eine Windowsumgebung. Mit einer virtuellen Maschine kann eine komplette Arbeitsumgebung vorgehalten. Das kann die Sandbox offenbar nicht gewährleisten.
Zum testen fraglicher Anhänge scheint es nicht geeignet zu sein?

 

[Baloonicorn]

Das ist wieder ein Beitrag aus "Windows Kernel Internals" - Sehr interessant geschrieben!

 

[Hedonist]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

Zum sicheren Surfen, ohne sein Host-Rechner den Gefahren des Internet auszusetzen, ist das eine sehr sinnvolle Funktion und dafür braucht man nicht die volle Leistung einer vollumfänglichen virtuellen Maschine. Aktuell nutze ich die Anwendung "Sandboxie", das um den Browser bzw. um bestimmte Anwendungen (je nach Konfiguration) eine solche Sandbox aufbaut und so vom Host abschottet.

Wenn die MS Sandbox auch sofort aufgebaut wird, wenn man die Anwendung damit startet und nicht noch erst minutenlang die Sandbox aufbauen muss, dann bin ich dabei und werde hierfür auch wieder mein Insider-Account wieder aktivieren.

Gibt es irgendwo eine detaillierte Beschreibung dieser neuen Funktion bei MS (könnte es auch selber suchen, aber wenn jemand den Link hat, geht es schneller

 

[build10240]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

Zum Testen braucht es gelegentlich auch mehr als nur eine Windowsumgebung.

Andere Systeme sind bei einer Sandbox im engeren Sinne doch auch nicht vorgesehen.

Mit einer virtuellen Maschine kann eine komplette Arbeitsumgebung vorgehalten.

Soweit ich das verstanden habe, ist das eine Kopie der echten Maschine. Ob sich auch schon installierte Programme dort ausführen lassen, wäre sicher interessant.

Zum testen fraglicher Anhänge scheint es nicht geeignet zu sein?

Zum echten Testen vielleicht nicht, denn den meisten wird sowieso das Wissen fehlen, eine Infektion durch einen Anhang zu erkennen. Aber die Sandbox könnte sich zum Ansehen verdächtiger Dokumente eigenen, zumindest wenn man mehr als ausführbare Dateien in die Sandbox schieben könnte und auch Office usw. dort verfügbar wäre.

Mir stellt sich aber auch die Frage, was der Vorteil der Sandbox gegenüber herkömmlicher VM-Software ist. Egal ob in VMware Workstation, Oracle VirtualBox oder Hyper-V eine einmal erstellte und mit irgendeinem System versehene VM ist nach dem Pausieren der VM auf Hosts, die die Anforderungen für die Windows-Sandbox erfüllen, innerhalb von 10 bis 20 Sekunden reaktiviert. Selbst wenn die Windows-Sandbox das schneller könnte, hat die immer noch die hier schon genannten Nachteile. Einzig wenn die Windows-Sandbox sicherer wäre als VM-Software wäre das ein Grund sie einzusetzen. Da jedoch im Hintergrund Hyper-V genutzt wird, wird die Sandbox kaum sicherer sein.

Zum sicheren Surfen, ohne sein Host-Rechner den Gefahren des Internet auszusetzen, ist das eine sehr sinnvolle Funktion und dafür braucht man nicht die volle Leistung einer vollumfänglichen virtuellen Maschine.

Aber nur für Nutzer, die keinen Verlauf ihrer Internetaktivitäten aufzeichenen wollen. Denn so eine Wegwerf-Sandbox kann das nicht bieten.

Wenn die MS Sandbox auch sofort aufgebaut wird, wenn man die Anwendung damit startet und nicht noch erst minutenlang die Sandbox aufbauen muss, dann bin ich dabei und werde hierfür auch wieder mein Insider-Account wieder aktivieren.

Jede einmal eingerichtete und pausierte VM läßt sich innerhalb von Sekunden reaktivieren, siehe auch oben.

Gibt es irgendwo eine detaillierte Beschreibung dieser neuen Funktion bei MS (könnte es auch selber suchen, aber wenn jemand den Link hat, geht es schneller

Bisher wohl nur den Blog-Beitrag, den Martin auch unten im Artikel verlinkt hat.

 

[Setter]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

Das ist die große Frage. Habe ich nur ein Windows oder eine Arbeitsumgebung? (das meinte ich mit mehr als eine Windowsumgebung)
Wenn ich gpg4win testen möchte und vor allem auch wissen möchte wie sich GpgOL mit Outlook verhält, benötige ich auch eine Office-Anwendung. Auch Mailverlope kann ich nur mit dritten Browsern testen.
Ich denke mal, das gerade Erweiterungen ein Schwerpunkt sind.

Ich befürchte ein wenig, das hier eine gute Idee nicht ganz durchdacht und ein Werkzeug geformt wurde, dessen Nutzen zweifelhaft ist.

 

[Hedonist]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

Es gibt wie immer bei Technologien Vor- und Nachteile. Nachfolgend für mich die wichtigsten Eckpunkte, um mich für die Nutzung des einen oder des anderen zu entscheiden.

Sandbox:
+ Eventuelle (erfolgreiche) Malware u.ä. ist nach Beendigung der Sandbox weg und ich starte die Sandbox immer mit einer frischen Instanz, ohne es jedesmal neu einrichten zu müssen.

- Es ist ein Stück Software (die Sandbox), die quasi das die Hardware und das Betriebssytem "simuliert" (ich weiß, das ist maximal vereinfacht und abstrahiert) und der Anwendung in der Sandbox die notwendigen Dienste anbietet, damit diese funktioniert. Und deshalb muss die Sandbox enorm viele Zeilen an Source-Code haben, um all diese Dienste des Betriebssytem zu simulieren. Daher muss man halt dem Anbieter einer solchen Sandbox auch vertrauen können/wollen.


VM:
+ Die VM Software simuliert nur quasi die Hardware; das OS wird ja in der VM vollständig installiert. Dadurch sind die Angriffsflächen der VM-Software für den Hersteller überschaubarer und handhabbarer.

- Eventuelle (erfolgreiche) Malware ist auch nach Beendigung oder Pausieren der VM noch da. Um diese loszuwerden, muss ich die VM löschen und neu aufsetzen, was wiederum viel Zeit benötigt. Sicherlich könnte man von der initialen VM eine Kopie erstellen und dann jeweils die Kopie nutzen, aber eine Kopie von einigen GB dauert halt auch Zeit und wenn ich bei jeder Aktion (z.B. mal schnell ins Internet) erst mal die VM von der Image-Kopie neu erstellen muss, macht es auf Dauer keinen Spaß.


Es gibt noch viele andere Vor- und Nachteile der beiden Technologien, auf die ich hier nicht näher eingehen möchte. Ich wollte mit den hier beschrieben Punkten nur darauf hinweisen, dass es für beide Arten der "Virtualisierung" eine Existenzberechtigung gibt.

 

[MrIW]

Bin mal gespannt, ob das auch auf dem Surface Go funktioniert. Eine Option hardware-VT im UEFI einzuschalten gibt es nicht. Hat schon jemand versucht Hyper-V auf dem Surface Go zu aktivieren? Benötigt die Sandbox einen Hardware-Hypervisor?

 

[rb13125]

Interessanter Ansatz: ein virtueller Wegwerf-PC eingebaut in Windows 10. Ein Schelm, wer Böses dabei denkt?

 

[build10240]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

Eventuelle (erfolgreiche) Malware u.ä. ist nach Beendigung der Sandbox weg und ich starte die Sandbox immer mit einer frischen Instanz, ohne es jedesmal neu einrichten zu müssen.

Kann VM-Software mit den Snapshots auch und ist dazu noch viel flexibler bei den Festplattenabbildern.

Es ist ein Stück Software (die Sandbox), die quasi das die Hardware und das Betriebssytem "simuliert" (ich weiß, das ist maximal vereinfacht und abstrahiert) und der Anwendung in der Sandbox die notwendigen Dienste anbietet, damit diese funktioniert. Und deshalb muss die Sandbox enorm viele Zeilen an Source-Code haben, um all diese Dienste des Betriebssytem zu simulieren. Daher muss man halt dem Anbieter einer solchen Sandbox auch vertrauen können/wollen.

Die Windows-Sandbox nutzt Hyper-V und wird sich da nicht groß von anderer VM-Software unterscheiden.

Eventuelle (erfolgreiche) Malware ist auch nach Beendigung oder Pausieren der VM noch da. Um diese loszuwerden, muss ich die VM löschen und neu aufsetzen, was wiederum viel Zeit benötigt. Sicherlich könnte man von der initialen VM eine Kopie erstellen und dann jeweils die Kopie nutzen, aber eine Kopie von einigen GB dauert halt auch Zeit

Mit den Snapshot-Funktionen von VM-Software dauert das nicht lange. Die Snapshots sind sofort einsatzbereit und in dem Zustand, in dem die VM zum Zeitpunkt des Anlegens war. Ein Snapshot in pausiertem Zustand sollte deswegen genauso schnell starten wie die ursprüngliche pausierte VM. Einzig das Löschen der Snapshots dauert eher Minuten als Sekunden.

Bin mal gespannt, ob das auch auf dem Surface Go funktioniert. Eine Option hardware-VT im UEFI einzuschalten gibt es nicht. Hat schon jemand versucht Hyper-V auf dem Surface Go zu aktivieren? Benötigt die Sandbox einen Hardware-Hypervisor?

Der Prozessor würde VT-x und VT-d unterstützen. Erfüllt aber nur die Mindestbedingungen mit 2 Kernen mit HT. Entweder ist VT-x/-d dauerhaft aktiviert oder im Surface Go nicht vorhanden. Müßte ein Besitzer eines Surface Go mal mit irgendeiner VM-Software testen oder mit einem Tool auslesen.

 

[Martin]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

Das ist die große Frage. Habe ich nur ein Windows oder eine Arbeitsumgebung? (das meinte ich mit mehr als eine Windowsumgebung)
Wenn ich gpg4win testen möchte und vor allem auch wissen möchte wie sich GpgOL mit Outlook verhält, benötige ich auch eine Office-Anwendung. Auch Mailverlope kann ich nur mit dritten Browsern testen.
Ich denke mal, das gerade Erweiterungen ein Schwerpunkt sind.

Ich befürchte ein wenig, das hier eine gute Idee nicht ganz durchdacht und ein Werkzeug geformt wurde, dessen Nutzen zweifelhaft ist.

Steht ja im Beitrag, dass es eine "nackte" Windows-Installation ist.
Wenn du in einer kompletten Umgebung etwas testen möchtest, musst du dir diese natürlich weiterhin entsprechend aufbauen, das soll ja kein Ersatz dafür sein. Im Gegenteil, die neue Funktion ist ja dafür da, dass man gerade das NICHT tun muss.
Ich habe eine "verdächtige" Datei: Zack - Sandbox an - Datei ausführen, testen - Sandbox wieder aus, Thema erledigt.
Dafür und für nichts Anderes ist es vorgesehen, darum sehe ich auch nicht, was da "nicht durchdacht" wäre.

 

[Hedonist]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

Laut dem Intel Processor Identification Utility steht für den 4415Y im Surface GO folgendes:


Intel(R) Virtualization Technology = Yes
Intel VT-x with Extended Page Tables = Yes

Intel(R) 64 Architecture = Yes


Im UEFI kann man zwar nirgends VT-x ein bzw ausschalten, aber laut Task-Manager (im Register Leistung bzw. Performance auf Englisch) steht, dass Virtualisierung aktiviert ist.

Werde dann mal am Wochenende auf dem Surface GO mal Hyper-V bzw. VMWare ausprobieren. Auch bezüglich der Performance bin ich mal gespannt.

 

[Sonnschein]

@Setter:
Ich habe es zwar schon länger nicht mehr gesehen, aber es war vor ein paar Jahren in vielen Bereichen "üblich", das immer, wenn der Rechner angeschaltet wurde, ein komplett neues Windows aus einem img erzeugt wurde. Die Daten und Datenbanken waren extern und liefen meist unter Unix. Das ist natürlich der sicherste Weg, sich von Schadsoftware zu schützen.
Wenn man sich was eingefangen hat, war nach dem Neustart alles wieder auf Null.
Das ist übrigens der Weg, nur leicht abgewandelt, den die großen OS Schmieden uns Anwendern schmackhaft machen wollen.
Beispiel ChomeOS Ein Mini OS und alle Anwendungen laufen in der Cloud. MS geht den selben Weg. MacOS wird vermutlich nachziehen. Linux UBUNTU versucht auch alles auszulagern. LibreOffice bietet die Cloud Lösung auch an u.s.w.

 

[build10240]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

Ich habe eine "verdächtige" Datei: Zack - Sandbox an - Datei ausführen, testen - Sandbox wieder aus, Thema erledigt.
Dafür und für nichts Anderes ist es vorgesehen, darum sehe ich auch nicht, was da "nicht durchdacht" wäre.

Wer soll ausführbare Dateien so testen? Dem Profi dürfte eine so limitierte Umgebung nicht ausreichend sein. Der Laie kann mit dem Ergebnis nichts anfangen. Sind nach dem Ausführen in der Sandbox keine offensichtlichen Malwaresymptome vorhanden, heißt das leider nicht, daß keine dabei war. Gerade der von Setter beschriebene Fall mit Anhängen (in Dokumentform) wäre ideal für die Sandbox, aber in einem nackten Windows nur eingeschränkt umsetzbar.

Ich will's nicht vor dem Start schlecht reden, aber nach den derzeitigen Infos baut man hier wieder nichts halbes und nichts ganzes.

 

[Setter]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

Ich habe eine "verdächtige" Datei: Zack - Sandbox an - Datei ausführen, testen - Sandbox wieder aus, Thema erledigt.
Dafür und für nichts Anderes ist es vorgesehen, darum sehe ich auch nicht, was da "nicht durchdacht" wäre.

Ähm Moment, die Mehrheit verdächtiger Dateien nutzen eine Schwachstelle in einer Anwendung. Office Adobe Flash etcpp.
Wie soll jetzt die "Gefährlichkeit" einer solchen Datei bestimmt werden, wenn nur ein nackiges Windows existiertet?

Mit der Sandbox kann doch dann nur ein ganz kleiner Teil abdeckt werden. Mir fallen nur wenige Anwendungsfälle ein, wenn es um die Anwendungsinstallation geht, wo mir das nutzen würden. Die Mehrheit der Fälle setzt ein installierte Anwendung voraus.

 

[PeterK]

Wenn ich eine Virtuelle Umgebung benötige die komplett isoliert vom Rest des Systems sein soll um Sicher zu surfen oder Online Banking betreiben zu wollen dann installiere ich mir eine Oracle VM VirtualBox lege mir eine Verknüpfung auf den Desktop und kann immer wieder darauf zurückgreifen da die Programme die ich als Sicher und nützlich empfinde installiert bleiben, wenn ich eine Mysteriöse Software testen möchte mir einfach eine Kopie von meiner Testmaschine und kann das auch dort testen und anschließend löschen oder auf Video aufnehmen.
Ich kann die Test Maschine auch mit auf ein anderes gerät mit nehmen in dem ich die Config einfach auf einen anderen PC oder Notebook auf dem auch Oracle VM VirtualBox installiert ist.
Die neue Windows Sandbox werde ich mal Testen aber ich glaube das es für mich nicht nützlich ist.

 

[Tjalf]

Alles nur Profis hier, für die das nichts ist. Dan lasst die Finger davon. Mir als Laien ist es zu kompliziert, eine VM einzurichten. Keine Ahnung, ob und wofür ich das Feature mal brauche, aber schön, dass es kommt.

 

[Setter]

AW: Windows Sandbox: Virtuelle Wegwerf-Installation von Windows 10 für verdächtige An

Im Grunde sagst du das, was hinterfragt wird. Was wird es dem normalen / einfachen Anwender bringen?
Da wo es interessant wäre, nämlich Browsererweiterungen, AddOns, Anhänge in Mails usw. - da bringt die Sandboxfunktion, so wie es ausschaut, nichts.

Dafür kann man dann aus dritten Quellen Anwendungen herunterladen, die in der Regel eigentlich dabei bereits erkannt werden, und testen. Macht man auch so häufig.....- da werden viele schon vergessen haben, das es die Sandbox überhaupt gibt.

 

[NLTL]

Laut dem Intel Processor Identification Utility steht für den 4415Y im Surface GO folgendes:


Intel(R) Virtualization Technology = Yes
Intel VT-x with Extended Page Tables = Yes

Intel(R) 64 Architecture = Yes


Im UEFI kann man zwar nirgends VT-x ein bzw ausschalten, aber laut Task-Manager (im Register Leistung bzw. Performance auf Englisch) steht, dass Virtualisierung aktiviert ist.

Werde dann mal am Wochenende auf dem Surface GO mal Hyper-V bzw. VMWare ausprobieren. Auch bezüglich der Performance bin ich mal gespannt.

Voraussetzung für Hyper V ist 10pro/edu/Enterprise. Mit Home und unter 4 GB RAM is auch nicht.
Hatte vor 4 -5 Jahren win 8 auf pro gebracht. Gab damals so 'ne 33€-Aktion von MS, dann nach mehreren Jahren V-Box Hyper V probiert. Nebenbei: Grafik unter V-Box hatte besser funktioniert. Aber was mir auffiel war, dass das Laptop nie von 100% runter kam. Da das auch so war ohne das ne Hyper V-VM lief hatte ich das auch nicht auf'm Schirm. Erst als ich das Experiment Hyper V beendete und zu V-Box zurück ging war alles wie gewohnt. Wenig Leistungsbedarf = wenig CPU-Last.
Blöder Weise muss Hyper V deinstalliert werden weil der andere Virtualisierer blockiert. Und nein es lag nicht an der CPU mit der Volllast. Sie war damals (und eigentlich auch noch heute) eine der potenteren Teile am Markt - ein i7-3630 HQ.

@Setter:
Ich habe es zwar schon länger nicht mehr gesehen, aber es war vor ein paar Jahren in vielen Bereichen "üblich", das immer, wenn der Rechner angeschaltet wurde, ein komplett neues Windows aus einem img erzeugt wurde. Die Daten und Datenbanken waren extern und liefen meist unter Unix. Das ist natürlich der sicherste Weg, sich von Schadsoftware zu schützen.
Wenn man sich was eingefangen hat, war nach dem Neustart alles wieder auf Null.
Das ist übrigens der Weg, nur leicht abgewandelt, den die großen OS Schmieden uns Anwendern schmackhaft machen wollen.
Beispiel ChomeOS Ein Mini OS und alle Anwendungen laufen in der Cloud. MS geht den selben Weg. MacOS wird vermutlich nachziehen. Linux UBUNTU versucht auch alles auszulagern. LibreOffice bietet die Cloud Lösung auch an u.s.w.

Das ging auch mal als Windows von CD/DVD. HD im RAM gefakt und Rechner aus = Virus aus.

 

[MrIW]

thanks @NLTL @build10240 @Hedonist
Ich hatte mein Surface GO nicht dabei und die Prioritäten bei der Einrichtung lagen bei anderen Dingen wie z.B. die Daten aus OneDrive4Biz, SharePoint Online und OneDrive auf die Kiste zu bekommen nachdem ich Windows1809Enterprise und Office installiert hatte.
Ist schon ganz fix in der 8GB/128GB-Variante. Allerdings hatte ich bisher noch nicht ernsthaft über Hyper-V darauf nachgedacht. Da habe ich ein leistungsstarkes ThinkPad X1 Tablet. SandBox ist definitiv auch für das GO eine Überlegung wert