آشنایی با محیط حفاظت شده Windows Sandbox و روش استفاده از آن

مایکروسافت قابلیت جدید Windows Sandbox که در حقیقت محیط حفاظت‌شده‌ای برای اجرا کردن نرم‌افزارهای مشکوک و حتی ویروس و بدافزار و جاسوس‌افزار است را در نسخه‌ی آزمایشی ویندوز ۱۰ برای اعضای Windows Insider اضافه کرده است.

در این مقاله می‌خواهیم با این ویژگی که طبعاً مدتی بعد در نسخه‌های نهایی ویندوز ۱۰ اضافه می‌شود، بیشتر آشنا شویم و روش فعالسازی و استفاده از آن را بررسی کنیم. با ما باشید.

قبل از هر چیز بهتر است مفهوم سندباکس یا سطل شن را بررسی کنیم که یکی از اصطلاحات معروف در حوزه‌ی هک و امنیت و بدافزار است.

Sandbox چیست؟

سطل شن یا Sandbox به محیطی گفته می‌شود که به لحاظ نرم‌افزاری ایزوله و از سیستم عامل اصلی جدا شده تا ویروس و بدافزارها نتوانند اقدامات خرابکارانه‌ی خود را گسترش دهند. Windows Sandbox به صورت یک اپلیکیشن است که ماشین مجازی ایجاد می‌کند و به عبارت دیگر ترکیبی از ماشین مجازی و اپلیکیشن است. در این محیط نرم‌افزاری می‌توانید نرم‌افزار را روی سیستم عاملی که به نوعی تصویر یا ایمیجی از سیستم عامل اصلی است، اجرا کنید. زمانی که Sandbox را می‌بندید، محیط آزمایشی بسته می‌شود و اثری از آن روی ویندوز اصلی شما باقی نمی‌ماند.

بنابراین Sandbox‌ در ویندوز ۱۰، یک محیط حفاظت‌شده و امن برای اجرا کردن برنامه‌ها و فایل‌های مشکوک و خطرناک است. البته می‌توانید در این محیط ایزوله، نرم‌افزارهای معمولی را نیز اجرا کنید و تست و بررسی انجام بدهید.

فعالسازی Windows Sandbox در ویندوز ۱۰

در حال حاضر فقط افرادی که در برنامه‌ی Windows Insider عضویت دارند و به نسخه‌های آزمایشی ویندوز ۱۰ دسترسی دارند، می‌توانند از این ویژگی جدید بهره‌مند شوند. به عبارت دیگر مایکروسافت هنوز در حال تست و بررسی و دریافت بازخورد کاربران است. این قابلیت جدید هم پس از مدتی سرانجام در نسخه‌های نهایی ویندوز ۱۰ که به صورت بروزرسانی بزرگ ارایه می‌شوند، در اختیار عموم کاربران قرار می‌گیرد.

اگر بخواهید از این ویژگی استفاده کنید، می‌بایست نسخه‌ی آزمایشی ۱۸۳۰۵ ویندوز ۱۰ یا به زبان دیگر Insider Build 18305 را نصب کنید و طبعاً در نسخه‌های جدیدتر نیز این ویژگی وجود دارد. در این نسخه‌ها، راه‌اندازی Sandbox و البته نصب کردن آن بسیار ساده است.

در ادامه به مراحل اصلی نصب و استفاده از Windows Sandbox می‌پردازیم.

قابلیت مجازی‌سازی یا Virtualization را فعال کنید

اولین گام این است که در تنظیمات BIOS مادربورد کامپیوتر و لپ‌تاپ خویش که ممکن است ظاهری گرافیکی و از نوع UEFI داشته باشد، گزینه‌ی مربوط به فعالسازی شتاب‌دهی سخت‌افزاری برای مقوله‌ی مجازی‌سازی را فعال کنید. البته ممکن است این ویژگی به صورت پیش‌فرض فعال باشد یا قبلاً برای استفاده از نرم‌افزارهای ماشین مجازی نظیر VirtualBox یا VMWare آن را فعال کرده باشید.

برای بررسی موضوع می‌توانید از تاسک منیجر استفاده کنید. لذا کلید Ctrl + Shift + Esc‌ را فشار بدهید و اگر اولین مرتبه است که Task Manager را باز می‌کنید، روی دکمه‌ی More details کلیک کنید.

سپس روی تب Performance کلیک کنید و به عبارت روبروی گزینه‌ی Virtualization در پایین پنجره توجه کنید. اگر Enabled درج شده، نیازی به فعالسازی نیست.

در غیر این صورت با دستورالعمل عمومی که در مقاله‌ی قبلی بخش دانش‌نامه ذکر شد، این ویژگی را فعال کنید. برای اطلاعات بیشتر می‌توانید مدل مادربورد یا لپ‌تاپ را به همراه عبارت‌هایی مثل How Enable Hardware Virtualization یا How Enable Intel VT-d و مانند آن گوگل کنید.

فعال‌سازی مجازی‌سازی تودرتو برای سیستم عامل نصب شده در محیط مجازی

اگر ویندوزی که نصب کرده‌اید، سیستم عامل اصلی نیست بلکه برای تست و بررسی نسخه‌های جدید ویندوز ۱۰، آن را در محیط ماشین مجازی نصب کرده‌اید، علاوه بر مورد قبلی، می‌بایست مجازی‌سازی تودرتو یا Nested Virtualization  را هم فعال کنید.

برای این کار روی منوی استارت راست‌کلیک کرده و گزینه‌ی PowerShell را انتخاب کنید. سپس در پاورشل، دستور زیر را با تغییر  VMNAME به نام ماشین مجازی ایجاد شده در WMWare اجرا کنید:

به این ترتیب Sandbox‌ که خود یک محیط مجازی است، در سیستم عاملی که در محیط مجازی نصب شده قابل استفاده می‌شود.

فعال‌سازی ویژگی Windows Sandbox Feature

قابلیت Windows Sandbox‌ یکی از امکانات اضافی یا Optional Feature است و به صورت پیش‌فرض فعال نیست. برای فعالسازی آن، می‌توانید از مسیر زیر در Control Panel ویندوز ۱۰ اقدام کنید:

اما روش سریع‌تر این است که عبارت Turn Windows Features On or Off  را در منوی استارت سرچ کنید و روی اولین نتیجه کلیک کنید. به این ترتیب پنجره‌ی Windows Features ظاهر می‌شود.

در پنجره‌ی باز شده اسکرول کنید و تیک کنار Windows Sandbox را بزنید و روی OK کلیک کنید. پس از لحظاتی برای فعال شدن کامل، روی دکمه‌ی ری‌استارت کلیک کنید. به این ترتیب پس از ریبوت شدن، ویژگی Windows Sandbox قابل استفاده خواهد بود.

اجرای ویندوز مجازی به کمک Windows Sandbox

اپلیکیشن Windows Sandbox یکی از اپ‌هایی است که در منوی استارت ویندوز اضافه می‌شود. می‌توانید عبارت Windows Sandbox را سرچ کنید و به سرعت آن را پیدا کنید یا روی آیکون آن راست‌کلیک کرده و Pin to Start را انتخاب کنید تا در منوی استارت به صورت دائمی اضافه شود. در این صورت دسترسی سریع‌تر خواهد بود. پس از اجرا، در صورت نیاز به دسترسی ادمین، دسترسی را تأیید کنید.

همان‌طور که در اسکرین‌شات زیر مشاهده می‌کنید، ویندوزی درست مثل ویندوز اصلی در محیط مجازی موجود است.

اما تصویر پس‌زمینه دستاپ و تنظیمات بسیاری به حالت پیش‌فرض تغییر کرده و اپلیکیشن‌هایی که در ویندوز اصلی نصب کرده‌اید نیز موجود نیست و تنها اپلیکیشن‌های پیش‌فرض ویندوز ۱۰ را در منوی استارت مشاهده می‌کنید.

نسخه‌ی ویندوز محیط سندباکس مثل ویندوز اصلی است و همواره به همراه ویندوز اصلی آپدیت می‌شود و لذا این یکی از ویژگی‌های مثبت Windows Sandbox است که بدون صرف زمان اضافی، به صورت خودکار آپدیت می‌شود.

استفاده از Sandbox برای تست و بررسی

اگر قبلاً از نرم‌افزارهای ماشین مجازی استفاده کرده باشید، استفاده کردن از Sandbox ویندوز برایتان بسیار ساده خواهد بود. کپی و پیست کردن فایل‌ها به صورت مستقیم در محیط مجازی امکان‌پذیر است. بنابراین هر زمان که اپلیکیشنی دانلود کنید و به بدافزار یا جاسوس‌افزار بودن آن مشکوک باشید، می‌توانید آن را در محیط مجازی پیست کرده و سپس اجرا کنید. روش درگ و دراپ برای انتقال فایل‌ها به محیط مجازی در حال حاضر کار نمی‌کند.

توجه داشته باشید که اگر فایلی را در Windows Sandbox دیلیت کنید، به سطل زباله منتقل نمی‌شود بلکه برای همیشه حذف می‌شود!

پس از پایان تست و بررسی اپلیکیشن‌ها و ویروس‌ها و امور دیگر، نرم‌افزار Windows Sandbox‌ را مثل هر اپلیکیشن ویندوزی دیگر ببندید. با بستن ویندوز سندباکس، تمام فایل‌های کپی شده در آن از بین می‌رود! لذا نمی‌توانید فایلی که روی دستاپ آن ذخیره کرده بودید را بعداً استفاده کنید. قبل از بستن، می‌توانید از این موارد در سیستم عامل اصلی کپی تهیه کنید.

هشدار زیر نیز هشداری است که به حذف شدن فایل‌ها اشاره می‌کند:

خوشبختانه مایکروسافت اپلیکیشن جدیدی Windows Sandbox‌ را بسیار سبک و سریع طراحی کرده و لذا در لپ‌تاپ‌ها و تبلت‌های ویندوزی که سخت‌افزار قوی و کارت گرافیک مجزا ندارند هم استفاده از ویندوز سندباکس و ویندوز مجازی درون آن، با سرعت خوبی انجام می‌شود. در حقیقت معمولاً ماشین‌های مجازی و سیستم عامل نصب شده در محیط مجازی، سرعت عمل پایین‌تری دارد و به سخت‌افزاری قوی نیاز است اما در مقابل فایل‌ها حفظ می‌شود، می‌توان چند سیستم عامل را در محیط مجازی نصب و استفاده کرد و حتی سیستم مجازی را از کامپیوتری به دیگری منتقل کرد.

howtogeekسیاره‌ی ‌آی‌تی

آنتی‌ویروس اصلی ویندوز ۱۰ یا همان Windows Defender معروف، در بروزرسانی اخیر به قابلیت Sandbox پیشرفته‌ای مجهز شده است. این اولین باری است که یک آنتی‌ویروس کامل می‌تواند در محیط حفاظت‌شده یا اصطلاحاً محفظه شن اجرا شود و از محیط مجازی و سیستم عامل اصلی حفاظت کند. یک از آنتی‌ویروس‌های رایگان یا پولی دیگر، این قابلیت جالب را ندارند. یکی از متخصصین حوزه‌ی امنیت گوگل نیز می‌گوید این اقدام مایکروسافت، بازی را تغییر می‌دهد.

در ادامه به آشنایی بیشتر با ویژگی جدید ویندوز دیفندر و روش فعال کردن آن در ویندوز ۱۰ می‌پردازیم. برای بررسی یکی دیگر از تکنولوژی‌های امنیتی ویندوز، با سیاره‌ی آی‌تی همراه شوید.

استفاده از سندباکس یا محفظه شن برای حفاظت از سیستم اصلی

مایکروسافت در وبلاگ حوزه‌ی امنیت می‌نویسد:

متخصصین حوزه‌ی امنیت مایکروسافت و دیگر متخصصین خارج از کمپانی، قبلاً به راه‌هایی پی برده‌اند که هکر می‌تواند از حفره‌های امنیتی تفسیرکننده‌ی محتوای Windows Defender برای اجرا کردن کدهای آلوده سوء استفاده کند. در حالی که چنین حملاتی به آنتی‌ویروس ویندوز دیفندر گزارش نشده، ما گزارشات را جدی گرفته‌ایم …

با اجرا شدن ویندوز دیفندر در محیط سندباکس، مطمئن می‌شویم که حملات احتمالی و کدهای مخرب در صورت اجرا شدن، به محیط ایزوله محدود می‌شود و از سایر بخش‌های سیستم عامل حفاظت می‌شود.

به بیان دیگر پردازشی که طی آن آنتی‌ویروس ویندوز دیفندر فایل‌های دانلودشده و دیگر فایل‌ها را آنالیر می‌کند، با کمترین دسترسی‌ها اجرا شده و اگر باگی در این فرآیند پردازشی وجود داشته باشد و فایل مخرب بخواهد از این حفره‌ی امنیتی خاص سوء استفاده کند و Windows Defender را مورد حمله قرار دهد، با توجه به اینکه تحلیل کردن فایل‌ها توسط پردازشی با دسترسی محدود انجام می‌شود، امکان خرابکاری بسیار محدود است.

بنابراین پردازشی از ویندوز دیفندر که وظیفه‌ی اسکن کردن فایل‌ها را بر عهده دارد، یک پردازش اجرا شده در محیط حفاظتی است و این چیزی است که تاکنون در بسته‌های آنتی‌ویروس کامل، وجود نداشته است. دیگر پردازش‌های اساسی آنتی‌ویروس که کارشان اسکن کردن فایل‌ها نیست، به صورت جداگانه و با دسترسی‌های کامل‌تر اجرا می‌شوند.

در وبلاگ مایکروسافت به یک مسأله‌ی مهم دیگر هم اشاره شده و آن نحوه‌ی پیاده‌سازی این قابلیت است به طوری که سرعت سیستم کاهش محسوسی پیدا نکند:

سرعت عمل معمولاً مهم‌ترین مسأله در خصوص استفاده از سندباکس است، به خصوص که ضدبدافزارها با فرآیندهای همزمان مثل انجام پردازش فایل‌ها حین نقل و انتقال فایل‌ها یا جمع‌بندی و بررسی تعداد زیادی رویداد محیط زمان اجرا، سروکار دارند. برای اطمینان از اینکه عملکرد افت پیدا نمی‌کند، تعداد تعاملات بین سندباکس و پردازش‌های اصلی دیگر را به حداقل رسانده‌ایم و در عین حال تعاملات را تنها در مواقع مهم و کلیدی امکان‌پذیر کردیم تا در نتیجه افت سرعت، نامحسوس باشد.

برای اطلاعات بیشتر به مطلبی از وبلاگ مایکروسافت توجه فرمایید.

ویژگی امنیتی جدید Windows Defender در چه نسخه‌ای از ویندوز ۱۰ اضافه می‌شود؟

قابلیت جدید ویندوز دیفندر بسیار جالب است اما این ویژگی به صورت پیش‌فرض در ویندوز ۱۰ فعال نیست. مایکروسافت این ویژگی را در حال حاضر برای اعضای Windows Insiders فعال کرده و به بررسی عملکرد واقعی آن می‌پردازد.

در واقع ویژگی جدید به مدتی تست و بررسی توسط کاربران حرفه‌ای‌تر نیاز دارد و پس از رفع کردن باگ‌ها و مشکلات گزارش‌شده، به عنوان یک ویژگی جدید به صورت پیش‌فرض در ویندوز ۱۰ فعال شود.

برای فعال کردن این قابلیت در حال حاضر، می‌توانید از دستورات cmd یا PowerShell استفاده کنید. ابتدا cmd را در منوی استارت سرچ کنید و روی اولین نتیجه راست‌کلیک کرده و Run as administrator را انتخاب کنید تا کامند پرامپت با دسترسی ادمین اجرا شود.

سپس دستور زیر را تایپ کرده و کلید Enter‌ را فشار دهید.

دستور فوق در نسخه‌ی ۱۷۰۳ ویندوز ۱۰ و نسخه‌های بعدی به درستی عمل می‌کند و مثل تصویر زیر، پیام SUCCESS: Specified value was saved نمایش داده می‌شود.

پس از اجرای دستور فوق، سیستم را ری‌استارت کنید. از این پس سندباکس پیشرفته‌ی آنتی‌ویروس ویندوز دیفندر فعال خواهد بود. برای غیرفعال کردن و بازگشت به حالت قبل، کافی است عدد 0 را به جای عدد 1 در انتهای دستور قرار داده و کلید Enter را فشار دهید:

در صورت بروز مشکلات جدی، می‌توانید از بوت به صورت Safe Mode یا دیسک تعمیر ویندوز استفاده کنید و دستور فوق را اجرا کنید.

پس از فعال کردن سندباکس پیشرفته، پردازش جدیدی به اسم MsMpEngCP.exe در پس‌زمینه مشغول اسکن و بررسی فایل‌ها می‌شود. پردازش معمولی MsMpEng.exe نیز مثل همیشه وجود خواهد داشت و پردازش جدید گونه‌ی محدودشده‌ی آن است.

سیاره‌ی ‌آی‌تی