Comments 125
другой пример — необходимость проверить что-то на «чистой» версии Windows.
Механизм, хороший и нужный. Но, если при запуске в песочнице чего-то будет не хватать, но это есть в основной системе, что делать, устанавливать в песочнице или что-то другое?
Если что-то есть в основной системе — оно уже доступно в песочнице.
Резонно. Но тогда что такое «чистая» версии Windows?
Откуда это такое предположение?
Тогда это будет как-то неудобно… допустим, мне нужно проверить работу некоторой программы, но для этого я должен как-то подсунуть ей данные?
Хотя, смущает «every time Windows Sandbox runs, it’s as clean as a brand-new installation of Windows».
С другой стороны, если песочница позиционируется как место для недоверенных приложений, логично не показывать ей пользовательские данные, поскольку брандмауэр Windows по умолчанию не препятствует выходу приложения в сеть (и данные могут быть украдены).
Хотя, смущает «every time Windows Sandbox runs, it’s as clean as a brand-new installation of Windows».
С другой стороны, если песочница позиционируется как место для недоверенных приложений, логично не показывать ей пользовательские данные, поскольку брандмауэр Windows по умолчанию не препятствует выходу приложения в сеть (и данные могут быть украдены).
Наконец-то встроенное подобие sandboxie
Еще хотелось бы выхода для домашней версии…
Как только Вы закрываете Песочницу — всё её содержимое безвозвратно уничтожается.Надеюсь можно будет сохранять состояние песочниц (upd Проморгал снимки)
Еще хотелось бы выхода для домашней версии…
В статье же написано про использование «снимков». Так что да, видимо, можно будет сохранять после настройки и запускать из снимков.
Домашняя версия не умеет Hyper-V и Containers. Учить ее этому не будут => не будет песочницы в домашней версии.
Вот за это я не люблю windows. Практически на всех ноутбуках предустановленна винда, но если копнуть чуть поглубже — выясняется, что она кастрирована и многих приятных плюшек в ней не хватает, хотя с точки зрения железа ограничений не должно быть.
Нативные контейнеры работают без Hyper-V, но только на Windows Server.
off Какое-то хождение по кругу. В Windows 7 появился похожий «режим XP». Кому этого мало появился Hyper-V. Теперь своеобразный возврат к режиму ХР.
Собственно осталось опробовать в реальности. Когда это обновление будет?
Собственно осталось опробовать в реальности. Когда это обновление будет?
Если смотреть на нумерацию билдов и текущий график релизов, то где-то в пределах 1-2 недель
Это обновление прилетело вчера через 2 часа после Вашего сообщения.
P.S. Глюк №1. Если добавить опцию, но нажать «перегрузить позже» (выключить комп штатно и включить потом) — оно не появляется в пуске.
Глюк №2. Удалил и добавил снова. Перегрузился как положено. Оно появилось в пуске, но по нажатию ничего не происходит.
P.S. Глюк №1. Если добавить опцию, но нажать «перегрузить позже» (выключить комп штатно и включить потом) — оно не появляется в пуске.
Глюк №2. Удалил и добавил снова. Перегрузился как положено. Оно появилось в пуске, но по нажатию ничего не происходит.
Так это и есть Hyper-V, только с динамически создающимся образом
Вначале был Connectix Virtual PC.
Потом их купили Мелкомягкие.
Потом, после долгого раздувания размера проги, её начали впихивать в Виндовс.
И очень долго, работа с ЮСБ там была сильно ограниченной (в оригинале ЮСБ не было).
Интересно как дела обстоят сейчас?
Потом их купили Мелкомягкие.
Потом, после долгого раздувания размера проги, её начали впихивать в Виндовс.
И очень долго, работа с ЮСБ там была сильно ограниченной (в оригинале ЮСБ не было).
Интересно как дела обстоят сейчас?
Ну молодцы, движутся потихоньку в направлении Qubes OS
Ждем полную виртуализацию приложений и вкладок в браузере.
Вирусы навряд ли полностью исчезнут, но писать их будет уже существенно сложнее.
Ждем полную виртуализацию приложений и вкладок в браузере.
Вирусы навряд ли полностью исчезнут, но писать их будет уже существенно сложнее.
Ждем серии статей под заголовками "Уязвимость <звучное_название>. Побег из windows sandbox"
Решил обновить домашнюю версию (не спрашивайте зачем)
Удалил Sandboxie, обновился — новой фичи нет, что было ожидаемо
Переустановил Sandboxie
Не работает, выдает ошибки, видимо его нужно переписывать под новые компоненты…
На всякий проверил VirtualBox — работает
Откатился назад, причем очень быстро
Ругнулся:
Удалил Sandboxie, обновился — новой фичи нет, что было ожидаемо
Переустановил Sandboxie
Не работает, выдает ошибки, видимо его нужно переписывать под новые компоненты…
На всякий проверил VirtualBox — работает
Откатился назад, причем очень быстро
Несовместимость исправлена в последней бета версии Sandboxie. Скачать можно с официального форума. Работает стабильно.
Sandboxie под каждый мажорный билд исправляют, там внутри драйвера огромная портянка правила и нюансов работы. Расплата за то, что Sandboxie старается по-максимуму использовать то, что предоставляет операционная система, а не изобретать велосипеды.
Хм, ни слова об UWF… странно
University of West Florida?
Unified Write Filter
Позволяет перехватывать всю запись на диск в отдельный кеш и сбрасывать его возвращая систему в исходное состояние.
Позволяет перехватывать всю запись на диск в отдельный кеш и сбрасывать его возвращая систему в исходное состояние.
это не совсем песочница, но штука хорошая.
вот ссылка на почитать (видать поэтому минусуют) docs.microsoft.com/en-us/windows-hardware/customize/enterprise/unified-write-filter
вот ссылка на почитать (видать поэтому минусуют) docs.microsoft.com/en-us/windows-hardware/customize/enterprise/unified-write-filter
Минимум 4 ГБ (рекомендовано 8 ГБ) оперативной памяти
Процессор с двумя ядрами (рекомендуется 4 с поддержкой hyper-threading)
нифига себе «песочница»…
Кажется девайсы с 1 ядром не выпускают уже лет 100. А запускать 10 на менее 4ГБ оперативы, это прям не надо так.
Будете смеяться, на работе компы пришли с 2 Гб оперативки и лицензией Win10. Закупщиков хочется задушить.
нормально работает десятка на древнейшем ноуте с T7500, 2гб памяти (больше чипсет не умеет) и ATI Xpress 200, ssd решает
Это всё прикольно до той поры пока не надо будет запустить VMWare или VBox, т.к. виндовый Hyper-V будет болтаться в памяти как сервис, ну а вышеобозначенное ПО при попытке запуска будет ругаться, что в системе уже запущен некий виртуализатор. По крайней мере при установке родного виндового Hyper-V было именно так.
Так и осталось. Хотя, в новой вчерашней виртуалбокс сделали нормальное определение этой ситуации. Теперь виртуалбокс, хоть и гораздо медленнее, но работает без VT-x, которую захватывает Hyper-V
Нет, софтовая виртуализация была доступна всегда, но она не умеет 64-битные машины и многопроцессорные гостевые системы. Насколько я понял из Changelog'а, в VBox 6 добавили возможность прямого использования гипервизора Hyper-V вместо родного VBox'овского.
VirtualBox 6.0 releasedКак изящно выразился rseiler на форуме VBox:
•Added support for using Hyper-V as the fallback execution core on Windows host, to avoid inability to run VMs at the price of reduced performance
I've since seen the one new line there mentioning Hyper-V, but it's a bit cryptic.В частности:
Аналогично как и в Android emulator ( точнее как в QEMU ) используется API WHPX ( Windows Hypervisor Platform )?
К сожалению, не знаю, как это работает в QEMU, да и в VB пока ещё не пробовал (собственно, особо и не планировал пробовать), но для меня строчка звучит достаточно внятно и разумно: использование HV в качестве исполняющего вирт. машину ядра (гипервизора), чтобы запускаться хоть как-то, а не бессильно вопить об ошибке (из-за захваченной HV виртуализации).
Разумеется, остаётся много вопросов: как конфигурация машины транслируется в HV? Неужели там существуют прям вот в точности такие же устройства, как эмулирует у себя VB? Или там используется не HV как платформа, а исключительно какое-нибудь низкоуровневое исполнительное ядро, а эмуляция устройств осуществляется самим VB? И с чем связано снижение производительности? Но это всё уже так, технические детали.
Разумеется, остаётся много вопросов: как конфигурация машины транслируется в HV? Неужели там существуют прям вот в точности такие же устройства, как эмулирует у себя VB? Или там используется не HV как платформа, а исключительно какое-нибудь низкоуровневое исполнительное ядро, а эмуляция устройств осуществляется самим VB? И с чем связано снижение производительности? Но это всё уже так, технические детали.
Я правильно понял что в vbox 6 будет нормально работать на h-v?
Это всё прикольно до той поры пока не надо будет запустить VMWareУже было писал об этом:
VMware всё равно придётся решать проблему VMware Workstation in Hyper-V.
Обучение отключению Credential Guard/Device Guard ( Turn on Virtualization Based Security ) в Article 2146361 вызывает «сложные эмоции» у заботящихся о защите от «утечки паролей»
В качестве выхода из ситуации, было бы неплохо программистам VMWare освоить API WHPX ( Windows Hypervisor Platform )
Не увидел в статье описания, что именно из текущей системы копируется в песочницу. А вдруг там окажутся всякие кэши-куки-пароли браузеров, и запущенный внутри троян радостно это всё сдампит и отошлёт создателю, после чего помрёт вместе с песочницей с чувством выполненного долга.
Я не вникал в дели, но логично, что только системные файлы. Никакие пользовательские данные из песочницы недоступны. Даже системные фалы, которые изменяются, в песочнице сбрасываются до исходного состояния.
Проблема в том, что у песочниц много разных задач. Можно проверять поведение программы в чистой системе, можно делать пробную установку (когда программе доверяешь, но не хочешь загаживать систему), можно запускать потенциально зловредные программы… Во всех этих случаях требования к песочнице и её наполнению будут разные, а статья в такие детали как-то не вникает.
Кто может оценить надёжность решения в плане проникновения из гостевой ОС в хостовую? И что именно оказывается в гостевой ОС, например, мои куки из браузера? Вопросов вного. К VB или VMW как-то доверие какое-то есть, а тут как-то… непонятно)
Надо конечно проверять, но думаю, они в эту виртуалку не копируют профиль пользователя
Тогда это вообще не «встроенный Sandboxie», как уже порадовались выше в комментариях…
В принципе, штука всё равно полезная, если, например, нужно проверить работу приложения на «чистой системе в вакууме» или использовать кейген (который /кряк (очевидно, пропатчиваемый файл придётся закидывать в контейнер руками). Но однозначно хотелось бы больше возможностей по её настройке.
В принципе, штука всё равно полезная, если, например, нужно проверить работу приложения на «чистой системе в вакууме» или использовать кейген (который /кряк (очевидно, пропатчиваемый файл придётся закидывать в контейнер руками). Но однозначно хотелось бы больше возможностей по её настройке.
Годная фича как по мне, было бы не плохо если был бы доп. API или инструментарий который бы позволял следить например что приложение делало в песочнице (какие файлы создавала/читала, какие системные вызовы вызывала и т.д.) и можно было «мокать» какие то вызовы.
Интересно, есть ли у них настройки, чтобы:
1) разрешить/запретить доступ в Интернет
2) контролировать, какие папки доступны из песочницы/монтируются туда
Неплохо. Долго ждал подобную функциональность. Надеюсь, не забросят
Как-то не очень коррелирует присутствие этой функции только в про и энтерпрайз версиях и вот такое её предназначение:
Случалось ли Вам оказаться в ситуации, когда необходимо запустить какую-то программу, но Вы не совсем уверены в источнике её происхождения?Запуск сомнительных программ? На предприятии?
Обновления Windows можно запускать в этой песочнице?
Если основная ОС стабильно обновляется, а Песочница запускает ту же версию ОС, то откуда в ней могут взяться обновления?
Суть, наверно в том, чтобы сначала накатить обновления в песочнице и проверить работоспособность песочницы и ПО до того, как ставить обновления на хост.
Минуточку. В статье сказано следующее:
В точности такое, какой была Ваша ОС сразу после её установки.
Так проникают апдейты хоста в перочницу или нет?
Первое, что я проверю, работает ли песочница в песочнице?
Не очень понял, если реальные файлы «линкуются»(софтлинк?) внутрь песочницы — я могу их модифицировать изнутри этой самой песочницы? Или они всё же линкуются в read-only режиме? Из статьи это не очевидно.
Вот да, мне тоже интересно.
1. Если файлы линкуются read-only, далеко не всё можно будет проверить.
2. Если есть доступ на запись, то прощай безопасность.
3. Хороший вариант было бы использовать технологию аналогичную снапшотам, когда идёт запись изменений в отдельный файл.
Также, из статьи не ясно, но хотелось бы узнать:
— можно ли запустить две песочницы одновременно
— что происходит, когда прилинкованные файлы кем-то извне изменяются
— можно ли будет внутри песочницы запустить песочницу
— насколько удобный механизм экстренной остановки песочницы без разрушения/с разрушением. Например, в связи с тем, что графика обрабатывается «как есть» —
1. Если файлы линкуются read-only, далеко не всё можно будет проверить.
2. Если есть доступ на запись, то прощай безопасность.
3. Хороший вариант было бы использовать технологию аналогичную снапшотам, когда идёт запись изменений в отдельный файл.
Также, из статьи не ясно, но хотелось бы узнать:
— можно ли запустить две песочницы одновременно
— что происходит, когда прилинкованные файлы кем-то извне изменяются
— можно ли будет внутри песочницы запустить песочницу
— насколько удобный механизм экстренной остановки песочницы без разрушения/с разрушением. Например, в связи с тем, что графика обрабатывается «как есть» —
Основная ОС, получив команды отрисовки графики, воспринимает их так, как будто они пришли от локально запущенного приложения и соответствующим образом выполняет их, выделяя и управляя необходимыми ресурсами, сходу приходят на ум некогда популярные вирусы-блокировщики экрана и всяческие фишинговые штучки (навроде запуска внутри песочницы ещё одной песочницы (см. мой предыдущий вопрос) незаметно для администратора и последующей эмуляции работы в родной ОС при разрушении внутренней песочницы)
Штука прикольная — но, на мой взгляд, это встроенная в ОС Vmware: песочится не только приложение, а вся ОС. Часто хочется изолировать только 1 приложение, потециально опасное, такое как браузер, чтобы, в случае попадания на вредоносный сайт, не заразить машину. И «запесочить» только браузер, причем не вновь установленный, а уже присутствующий в системе браузер запустить в песочнице в один клик, прозрачно для пользователя. Поэтому я все еще выбираю Shade Sandbox :)
Вещь безусловно интересная, но в хозяйстве мало необходимая, а вот поддержка нескольких мониторов хромает до сих пор.
А что не так с поддержкой нескольких мониторов?
Лол, да все не так. Приложения открываются на каком хотят мониторе, могут даже на выключенном телевизоре. Особенно радует вижуала, которая диалог поиска может на другом дисплее открыть. Очень удобно. А если разный дпи то со скелингом постоянно проблемы какие-то.
Игры запускаются обычно только на первом мониторе, причем некоторые на весь виртуальный дисплей растягиваются. 21ый век, все для удобства.
Кнопкой павер не всегда компьютер выключить можно, то прилагаю какая-нибудь зависнет, то вообще пустой список.
А песочница мне очень нужна, да, я прям пока новость эту не прочитал и не понимал как она мне нужна)
Приложения открываются на каком хотят мониторе, могут даже на выключенном телевизоре.К сожалению спецификация DDC не позволяет определить, включен телевизор или нет. Можно только определить, подключен ли интерфейсный кабель. И если кабель отключить, то все окна переместятся на доступные устройства отображения. Не знаю, чем ещё вам помочь.
Что само по себе удивительно, определить разрешение экрана она позволяет а состояние монитора нет. Мне кажется электротехнически тут никаких проблем нет, просто эффективным менеджерам было лень.
ЗЫ. Но по остальным проблемам вопрос остаётся открытым. И видимо никогда решен не будет.
А Вы в Микрософт работаете, раз помощь свою предлагаете?
ЗЫ. Но по остальным проблемам вопрос остаётся открытым. И видимо никогда решен не будет.
А Вы в Микрософт работаете, раз помощь свою предлагаете?
Банально при перемещении по виртуальным столам происходит перемещение на обоих мониторах. Посмотрите на то, как реализована работа с несколькими мониторами в macOS.
Когда же разработчики винды решатся перевести все приложения в контейнеры: uwp, обычные exe и т.д. Причем чтобы можно было их устанавливать как из store, так и из своих источников, как на android.
Чтобы на новом компе после логина сразу все ставилось, включая данные… и общие библиотеки чтобы и разные версии одновременно…
Чтобы на новом компе после логина сразу все ставилось, включая данные… и общие библиотеки чтобы и разные версии одновременно…
Чтобы на новом компе после логина сразу все ставилось
Тоже этого джва года жду.
Пока что юзаю chocolately и файл с установленным софтом храню в облаке.
Тогда хочу узнать, а нормально ли он работает? В смысле, не будет постоянного чувства третьего колеса?
После того как на айфонах сделали фичу когда подносишь новый смартфон к старому и все сразу перекачивается, делая новый смартфон «твоим» за 5-10 минут, в майкрософте 100% должны тоже так сделать.
После того как на айфонах сделали фичу когда подносишь новый смартфон к старому и все сразу перекачивается, делая новый смартфон «твоим» за 5-10 минут, в майкрософте 100% должны тоже так сделать.
Работает нормально, но не без неудобств — нужно установить сам choco через powershell и не забывать периодически синхронизировать список установленных программ (можно в gui экспорт делать).
Обновление программ тоже вручную (ну или в планировщик задачу добавить).
Но жирный плюс — не нужно по инсталляторам ходить и тыкать кнопочки
Разработчики винды не могут всё сделать за других разработчиков — слишком многие используют всякие недокументированные возможности, хаки и костыли. Для сторонних разработчиков они уже сделали: docs.microsoft.com/en-us/windows/msix
Чтобы на новом компе после логина сразу все ставилось, включая данные… и общие библиотеки чтобы и разные версии одновременно…
Напоминает ноду.жс, которая все свои нпм-ы хранит в роаминг профайле ;)
UWP с 2016года точно можно было ставить из своих источников
Я правильно понимаю, что это же вот такой новый лёгкий способ продлевать свои Trial'ные версии бесконечно? =)
> Песочница Windows построена на технологии, которая называется Windows Containers. Контейнеры разрабатывались (и давно используются) для работы в облаке. Microsoft взял уже достаточно зрелую и протестированную технологию и доработал её для пользователей десктопной Windows.
Угу, и в статье ни одного упоминания, например, про Docker.
Угу, и в статье ни одного упоминания, например, про Docker.
Не понятно, зачем это назвали песочницей, когда по описанию — виртуальная машина. Песочница это Sandboxie, смысл в том, чтобы не использовать дополнительные ресурсы.
Добрый день! Хотел воспользоваться песочницей, в свое время даже купил лицензию на версию Enterprise, и не нашел этой опции в настройках, у меня версия 17763, и теперь мне нужно ждать какого то официального обновления или переустанавливать на 18305 билд и снова платить(хотя есть торренты), что посоветуете?
1) Можно дождаться официального обновления 1903, которое будет в апреле-мае
2) Можно записаться в программу инсайдеров в параметрах ОС, и получить предварительную сборку. Параметры -> Обновление и Безопасность -> Программа предварительной оценки Windows
3) Можно скачать откуда-нибудь (я бы рекомендовал официальный сайт МС, но там тоже через программу Windows Insider insider.windows.com) образ 1903 и через него обновиться (лицензия никуда не денется, если там не zver cd, конечно).
Вообще в 10ке лицензия привязывается к оборудованию и после переустановки на том же оборудовании она сама должна активироваться.
2) Можно записаться в программу инсайдеров в параметрах ОС, и получить предварительную сборку. Параметры -> Обновление и Безопасность -> Программа предварительной оценки Windows
3) Можно скачать откуда-нибудь (я бы рекомендовал официальный сайт МС, но там тоже через программу Windows Insider insider.windows.com) образ 1903 и через него обновиться (лицензия никуда не денется, если там не zver cd, конечно).
Вообще в 10ке лицензия привязывается к оборудованию и после переустановки на том же оборудовании она сама должна активироваться.
А можно ли как то управлять песочницой из командной строки? Например, мне нужно выполнить некий волшебный скрипт?
Нет, через консоль нельзя, но можно через конфиг подключить папку со скриптом и указать команду, которая будет исполняться при запуске. Здесь есть информация: https://remontka.pro/sandbox-windows-10/
Вещь интересная, но почему-то перестал работать VirtualBox. Пришлось отключить, т.к. вбокс мне нужнее. Как думаете, реально будет как-то совместить (я не говорю одновременная работа, хотя бы по очереди), или нереально?
Sign up to leave a comment.
Песочница в Windows