Sandboxie - omówienie i konfiguracja
#1
Sandboxie - Program z rodzaju "Piaskownic" czyli dokładnie mówiąc izoluje wybrany program czy też proces przed wpływem, zmianą wywartym na systemie, obszarze pamięci.

Zaczynamy od pobrania Programu
Wersja Oficjalna

[Aby zobaczyć linki, zarejestruj się tutaj]

Wersja Beta

[Aby zobaczyć linki, zarejestruj się tutaj]


1)Instalacja
Uruchamiamy wcześniej pobrany instalator oraz wybieramy w jakim języku ma zainstalować program. (Program posiada również język Polski)

[Aby zobaczyć linki, zarejestruj się tutaj]

Przechodzimy dalej i wybieramy w którym katalogu ma zainstalować program.. Klikamy Dalej..Dalej a następnie Zakończ.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

2)Konfiguracja Sandboxie względem Firefoxa
Program zawiera sporo opcji i możliwości dzięki którym przewyższa inne Piaskownice, programy.
Na 1 ogień przedstawią zalacaną konfiguracja dla Przeglądarki Firefox bo właśnie z niej korzystam.
W płatnej wersji tworzymy osobny kontener dla Firefoxa czyli z menu Piaskownica ---> Utwórz nową piaskownicę oraz wpisujemy nazwę piaskownicy np Firefox
Podczas tworzenia nowej piaskownicy mamy możliwość skopiowania ostawień z innego kontenera. Jest Nasze pierwsze ustawienie więc klikamy (Brak) a następnie guzik OK.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Gdy już mamy osobny kontener dla przeglądarki przechodzimy do ustawień. W tym celu musimy kliknąć PPM(prawym przyciskiem myszy) na naszej nazwie kontenera  i z menu wybieramy Ustawienia Piaskownicy.

[Aby zobaczyć linki, zarejestruj się tutaj]

Otwiera nam sie nowe okienko z ustawieniami i na 1 zakładce mamy wygląd tutaj możemy zdefiniować jaki kolor ramki ma być, czy ma się cały czas wyświetlać, czy ma widnieć znaczek # oraz nazwa piaskownicy w tytule paska.
No ja osobiście kiedyś miałęm ustawione różne kolory ramek dla osobnych piaskownic dzięki czemu wiedziałem że program jest uruchomiony w piaskownicy i czy jest uruchomiony w odpowiednim kontenerze... ale po dłóższym czasie mam te wszystkie opcje wyłączone razem z znacznikiem #

[Aby zobaczyć linki, zarejestruj się tutaj]

Zakładka Przywróć / Szybkie Przywracanie
W tym miejscu ustalamy w jakich folderach sandboxie ma monitorować i pytać użytkownika o przywrócenie plików do rzeczywistej pamięci, obszaru dysku podczas kasowania zawartości z danego kontenera piaskownicy.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Natomiast w drugiej zakładce Natychmiastowe przywracanie
Po włączeniu tej funkcji Sandboxie niezwłocznie nas zapyta o przywrócenie pliku po zapisaniu go we wcześniejszym zdefiniowanym folderze/folderach.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeśli by zdarzyła sie taka sytuacja że zapisaliśmy plik w folderze, miejscu nie ustawionym we wcześniejszych opcjach należy odszukać i przywóricć go ręcznie ale Z PANELA SANDBOXIE.
W tym celu wybieramy opcje menu Widok / Pliki i foldery, a następnie idziemy do gałęzi folderu gdzie zapisaliśmy nasze pliki a następnie PPM z menu na wybranym pliku klikamy Przywróć do tego samego folderu lub innego.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Ok kosmetyka na bok, a teraz przechodzimy do istotnych ustawień. Trzecia zakładka Usuń / Wywołane usuń
Automatycznie usuwaj zawartość piaskownicy - Dzięki tej opcji przeglądarka usunie wszelkie pliki zapisane lub tymczasowo zmienione które zostały utworzone przez program.(i CCleaner odchodzi do lamusa)

[Aby zobaczyć linki, zarejestruj się tutaj]

Kolejna zakładka to Uruchamianie programu / Monitorowane Programy.
Tutaj wpisujemy lub wybieramy z listy firefox.exe od tej pory przeglądarka Firefox będzie zawsze wymuszana do uruchomienia sie w piaskownicy/wybranym kontenerze dzięki czemu jeśli jakiś program w tle będzi chciał włączyć pzreglądarke będzie ona automatyczie chroniona. Dla mnie jest to opcja MUST HAVE dla przeglądarki... niestey darmozjady obejdą sie smakiem funkcja nie dostępna w darmowej wersji.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Teraz przechodzimy do zakładki Ograniczenia.  dzięki m.in tym opcją sandboxie bije na łeb pozostałą konkurencje, a więc zaczynamy od Dostępu do internetu
W tym miejscu wpisujmy jakie procesy mogą mieć odstęp do internetu czyli przymusowo dajemy firefox.exe bo w końcu chcemy korzystać z internetu, opcjonalnie trzeba będzie dodać plugin-container.exe oraz FlashPlayerPlugin bo niektore story potrzebują do prawidłowego działąnia oraz żeby można było sprawdzić aktualizacje Flash.

[Aby zobaczyć linki, zarejestruj się tutaj]

Nadaj jesteśmy w zakładce Ograniczenia tym razem tym razem Dostęp do uruchom.
Kolejna fajna sprawa przy której warto pogrzebać dzięki tej opcji wybieramy i ustalamy wyłącznie te procesy które mają działać w piaskownicy reszta będzie blokowana.(taki pseudo HIPS)
Oczywiście konfiguracja w tym wypadku bedzie podobna jak w przypadku intrnetu musimy dodać proces firefox.exe oraz 2 od aplikacji flash żeby mógł flash działać w przeglądarce.
UWAGA: jeśli chesz otwierać wiadomości,treść  w notatniku też musisz dodać notatnik do tej listy inaczej zostanie zablokowany, dotyczy to również reszty pobocznej aplikacji.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Ostatnia sprawa z działu Ograniczenia czyli Obniżenie uprawnień. Kolejna opcja która warto mieć, wymusza uruchomienie aplikacji z ograniczonymi prawami.
Czyli zaznaczamy Obniż uprawnienia administratorów i zaawansowanych użytkowników.

[Aby zobaczyć linki, zarejestruj się tutaj]

Przechodzimy do zakładki Aplikacje / Przeglądarki internetowe a następnie Firefox.
Nie polecam tutaj grzebać jedyne co nas interesuje to wymuś uruchomienie przeglądarki w piaskownicy(ustawiliśmy to już ręcznie wcześniej) oraz dostęp do zakładek dzięki czemu dodane/zmienione zakładki zostaną zapisane na stałe.

[Aby zobaczyć linki, zarejestruj się tutaj]

I tak oto mamy wstępnie skonfigurowaną piaskownice dla przeglądarki firefox.
Dodatkowe info jak ustawić dodatki AdblockPlus oraz NoScript dla piaskownicy
Aby adblock plus na stałe zapisywał filtry piaskownicy oraz NoScript należy wykluczyć pliki z ochrony. dać bezpośredni dostęp zapisu do pliku.
W tym celu wchodzimy do głównego menu programu Konfiguracja / Edytuj konfiguracje otwiera sie nam Notatnik i ręcznie pod tagiem nazwą naszej piaskownicy w tym wypadku [Firefox] dopisujemy te linie (kolejność obojętna może być na początku listy czy na końcu)
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\pattern*
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\NoScriptSTS.db
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
Zapisujemy, zamykamy notatnik oraz w menu klikamy Konfiguracja / Przeładuj konfiguracje
Można też to zrobić tradycyjnie jak wcześniej wchodzac w opcje wybranego kontenera a następnie Dostęp do zasobu \ Dostęp do pliku \ Dostęp Bezpośredni
Istotną sprawą jest zwrócenie uwagi na funkcje Poniższą listę stosuje sie do i wybrać firefox.exe Dzięki temu tylko proces firefox bedzie mógł zapisać bezpośrednio pliki w wybranej lokalizacji.
3)Konfiguracja Sandboxie względem WinRAR lub innego pakera
Jak zwykle zaczynamy od utworzenia nowego kontenera z nowymi ustawieniami a następnie przechodzimy do konfiguracji tego kontenera.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Gdy już wejdziemy w opcje ustawiamy w zakładce Przywróć / Szybkie Przywracanie foldery w których będziemy przechowywać rozpakowywać pliki naszym pakerem.
Ja ogólnie mam przydzieloną osobną partycje gdzie zapisuje wszystkie pliki i w niej mam ustawione podfoldery dla każdej aplikacji która pobiera/zapisuje dany plik.

[Aby zobaczyć linki, zarejestruj się tutaj]

Natomiast w opcjach Natychmiastowe przywracanie wyłączam tą funkcje.

[Aby zobaczyć linki, zarejestruj się tutaj]

Włączamy automatyczne usuwanie plików po zamknięciu aplikacji w menu Usuń / Wywołanie Usuń

[Aby zobaczyć linki, zarejestruj się tutaj]

Dlaczego tak?
Mając włączone Szybkie przywracanie będzie wyświetlarko nam taki komunikat, przy wypakowywaniu sporej ilości plików jest dość nie czytelne i możemy wyapkować pare plików któych byśmy nie chcieli.

[Aby zobaczyć linki, zarejestruj się tutaj]

Natomiast po rozpakowaniu pliku i zamknięciu Sandboxie aplikacji automatycznie czyści dane oraz pyta nas o przeniesienie danych z wyznaczonych plików które rozpakowaliśmy w wybranym przez nas wcześniej folderze. Dzięki tym ustawieniom możemy teraz wybrać pliki które chcemy przywrócić a pominięta reszta zostanie automatycznie usunięta i przy okazji okno jest bardziej czytelniejsze.

[Aby zobaczyć linki, zarejestruj się tutaj]

Możemy również przenieś pliki do innego folderu.

[Aby zobaczyć linki, zarejestruj się tutaj]

Przy operacjach na grubszych sprawach będziemy musieli zmienić małe co nie co w zakładce Migracja plików na większy rozmiar.

[Aby zobaczyć linki, zarejestruj się tutaj]

Teraz troche BHP (Bezpieczeństwo higieny pracy)
Czyli po pierwsze wyznaczamy które procesy mogą zostać łączyć sie z internetem akurat WinRAR aktualizuje ręcznie, jak więc najlepiej wyłączyć internet dla wszystkich procesów bo i tak mi nie będzie potrzebny.  Zakładka Ograniczenia / Dostęp do internetu i klikamy na przycisk Blokuj wszystkie programy.

[Aby zobaczyć linki, zarejestruj się tutaj]

Następnie pozwalamy tylko pakerowi na uruchamianie się w tej piaskownicy czyli dodajemy jego proces czy też procesy.

[Aby zobaczyć linki, zarejestruj się tutaj]

Prawa administratora razcej nie bedą nam potrzebne więc też ograniczamy aplikacje w zakładce Obniżenie uprawnień.

[Aby zobaczyć linki, zarejestruj się tutaj]

4)Konfiguracja Sandboxie dla komunikatora TeamSpeak3 oraz Mumble
Tworzymy kontener i przechodzimy do jego ustawień.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak zwykle ustawiamy przeciętne reguły czyli: 
-automatyczne kasowanie zawartości po zamknięciu aplikacji.
-połączenie internetowe i uruchamianie sie procesu tylko dla wybranej aplikacji oraz obniżamy uprawnienia.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie zapomnijmy jeszcze o wymuszeniu uruchomienia aplikacji w piaskownicy.

[Aby zobaczyć linki, zarejestruj się tutaj]

Teraz gdy już mamy ustawienia wstępne dla programu należy pamiętasz o trwałych zmianach które chcemy zachować.
W tym celu przechodzimy do zakładki Dostęp do zasobu / Dostęp do pliku / Dostęp bezpośredni.
Kluczowym aspektem jest dodanie zapisu tylko dla wybranego procesu czyli w tym wypadku ts3client_win32 klikamy Dodaj program  i wybieramy lub wpisujemy nasz proces, następnie podajemy ścieżkę pliku/folderu, który chcemy dodać do stałego zapisu, czyli klikamy na poniższy guzik Dodaj i podajemy adres gdzie TS3 trzyma opcje/konfiguracje.
Win7 / Vista C:\Users\<username>\AppData\Roaming\TS3Client lub
C:\Program Files\TeamSpeak 3 Client\config (jeśli ustawiłeś aby trzymał opcje w głównym katalogu)

[Aby zobaczyć linki, zarejestruj się tutaj]

5)Ciekawe aspekty i inne metody wykorzystywania Sandboxie do ochrony systemu
Rozwinę i dopisze jutro bo dziś nie było mnie prawie cały dzień w domu... jednak na wordpress lepiej mi sie obszerne artykuły pisało brak mi kilku ficzerów :/
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#2
Leci zasłużony punkt - świetny poradnik, dzięki! Smile
Odpowiedz
#3
Plusik i ode mnie...czekam na resztę Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Dobra robota. Proponuję dodać info jak zmienić domyślną lokalizację piaskownicy.
Odpowiedz
#5
Na razie opisze wszystkie popularne aplikacje a w osobnym punkcie opisze sprawę z przeniesieniem piaskownic do innych folderów jak i foldery które warto blokować, czyli inne ciekawe opcje restrykcji które można dodatkowo nałożyć w poszczególnych ustawieniach jak i na pewne procesy/usługi systemowe m.n wiersz poleceń CMD

BUMP:

Potem to jeszcze ładniej ogarnę i przekonwertuje do pliku PDF z ładnym logiem SG jako poradnik do pobrania <3
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#6
+1 za interesujący poradnik Smile
Odpowiedz
#7
Plus poleciał! Smile
Odpowiedz
#8
Nie wiem czemu ale nie mogę edytować artykułu ale to w sumie i dobrze bo się robił tasiemiec zrobię cześć drugą w osobnym artykule/wątku.
ale to wieczorem dopiero...
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości