Zo kun je applicaties in een veilige sandbox opstarten

Om malware, zoals virussen en ransomware, een stap voor te blijven installeer je natuurlijk een degelijke antivirustool en houd je die ook mooi up-to-date. Jammer genoeg weten zulke tools niet altijd alle malafide sites of software te ontmaskeren of te blokkeren. Vooral wanneer je onbekende sites bezoekt of nieuwe software wil uitproberen doe je er daarom goed aan extra beveiligingsmaatregelen te nemen.

Een beproefde techniek is sandboxing, waarbij individuele toepassingen van het onderliggende OS en van andere toepassingen worden geïsoleerd. Ze worden als het ware in een zandbak gestopt waaruit ze niet (horen te) kunnen ontsnappen.

Op een meer technisch niveau heeft men het ook wel over toepassingsvirtualisatie omdat die applicaties dan in een soort virtuele omgeving draaien. Immers, voor de software lijkt het alsof die in je echte (Windows-)omgeving opereert gezien die geen weet heeft van de afbakening binnen de sandbox.

In dit artikel bekijken we een aantal technieken en tools om allerlei applicaties in zo’n veilige sandbox op te starten. Blijkt alles koosjer, dan kun je die naderhand met een gerust hart in je ‘echte’ omgeving opnemen, als je dat wil.

01 Browsers

Het zal je misschien verbazen, maar heel wat browsers bieden standaard al een zekere mate van sandboxing. Dat geldt bijvoorbeeld al langer voor Google Chrome en ook voor Firefox vanaf versie 54. Die starten voor elke webpagina in principe een of meer nieuwe processen op om (de scripts op) die pagina uit te voeren, wat het voor potentiële malware lastiger maakt om andere browsertabs of bestanden te manipuleren.

Zelfs het goeie ouwe Internet Explorer biedt een vergelijkbare functionaliteit. Je moet die dan wel eerst even inschakelen: ga naar Internetopties / Geavanceerd en plaats een vinkje bij Uitgebreide beveiligde modus inschakelen. Het valt echter niet uit te sluiten dat bepaalde (incompatibele) add-ons nu niet meer correct functioneren.

Verder in dit artikel komen ook nog andere oplossingen aan bod, zoals Chrome of Edge opstarten binnen de contouren van Windows Sandbox, of in combinatie met Windows Defender Application Guard.

© PXimport

02 Antivirus

Betaalde versies van antivirussoftware hebben vaak allerlei extra beveiligingsfuncties. Zo voorzien de Internet Security Suites van zowel Avast! als Kaspersky beide in een sandboxing-functie. Bij deze laatste zorgt een gesandboxte browser onder andere voor de bescherming van je online financiële transacties.

Een sandbox tref je ook aan in de gratis versie van Comodo Antivirus. Die maakt niet alleen gebruik van een op Chromium-gebaseerde browser, inclusief sandboxing-technologie, maar je kunt er ook een willekeurige toepassing mee opstarten in een sandbox. Klik hiervoor op Taken en kies Containment taken / Start Virtueel / Kies en start. Verwijs naar een exe-bestand en start het op: een groen kader rond het applicatievenster geeft aan dat het programma in een sandbox draait. Je kunt op elk moment de sandbox (container) resetten met de wijzigingen van applicaties die je daarin hebt geplaatst.

© PXimport

03 Defender Antivirus

Ook Microsoft doet mee met toepassingsvirtualisatie en sandboxing. Vanaf Windows 10 1703 biedt het de mogelijkheid om het eigen Windows Defender Antivirus in een sandbox te draaien. Deze antivirustool wordt namelijk standaard uitgevoerd met verhoogde machtigingen, wat het een gewild doelwit maakt van malware. Je activeert deze functie als volgt. Klik met rechts op Windows PowerShell en kies Als administrator uitvoeren. Op de opdrachtprompt voer je het volgende commando uit:

setx /M MP_FORCE_USE_SANDBOX 1, waarna je Windows herstart.

Als je vervolgens het Windows Taakbeheer (Ctrl+Shift+Esc) opstart en op Meer details / Details klikt hoor je hier nu ook MsMpEngCP.exe te zien draaien.

© PXimport

04 WDAG

Gebruikers van Windows 10 Pro 64-bit 1803 en hoger kunnen tevens de ingebouwde Windows Defender Application Guard (WDAG) activeren voor gebruik in Edge. Hier staan de exacte systeemvereisten. Je browser wordt dan met behulp van Hyper-V in een beperkte, virtuele machine opgesloten. Deze machine heeft bijvoorbeeld geen toegang tot het klembord of tot externe bestanden. Voer Windows Powershell als administrator uit en voer het volgende commando uit:

Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard

Na een herstart van je pc start je Edge op. Afhankelijk van je Edge-verse moet je mogelijk eerst edge://flags in de adresbalk intikken en Microsoft Edge Application Guard inschakelen. Als het goed is krijg je nu via het …-knopje toegang tot een extra optie: Nieuw Application Guard-venster.

Om WDAG ook in Chrome te gebruiken heb je een browserextensie nodig, die je hier kunt downloaden. Als de extensie je ook een link aanbiedt naar de WDAG Companion-app in de Windows Store, dan moet je die ook even installeren. Herstart vervolgens Windows.

© PXimport

Sandbox configureren

© PXimport

05 Windows Sandbox

Microsoft plaatste de sandboxing-techniek in een stroomversnelling met het invoeren van een heuse Sandbox-tool in Windows 10 1903. Deze tool is in principe alleen beschikbaar voor gebruikers van Windows Pro en Enterprise (zie echter ook de kadertekst ‘Sandbox Home’). Ook deze technologie maakt dankbaar gebruik van Hyper-V: die zorgt voor een virtuele Windows-omgeving waarbinnen je veilig kunt experimenteren met onbekende sites en software. Deze ‘zandbak’ leunt weliswaar al heel dicht tegen systeemvirtualisatie aan, (zie tekstkader ‘Systeemvirtualisatie’).

Ook de Windows Sandbox dien je zelf in te schakelen. Druk op Windows-toets+R en voer optionalfeatures uit. Scrol naar de optie Windows-Sandbox en plaats hier een vinkje. Bevestig met OK en herstart je systeem. Dat moet wel aan bepaalde vereisten voldoen, zoals beschikken over een 64bit-processor, virtualisatie geactiveerd in het bios (AMD-V of Intel VT) en minimaal 4 GB ram.

Als Sandbox succesvol is geactiveerd hoef je alleen maar in de programmalijst Windows Sandbox op te starten. Even later duikt er een venster op met een virtuele Windows-omgeving. Die beperkt automatisch de toegang tot de onderliggende ‘echte’ Windows: dat merk je meteen wanneer je hier bijvoorbeeld de Verkenner opent. Alle aanpassingen verdwijnen ook zodra je de virtuele omgeving sluit. Houd er wel rekening mee dat andere virtualisatiesoftware, zoals VirtualBox, niet meer zal functioneren tot je de Windows-Sandbox-functie weer uitschakelt!

© PXimport

Sandbox Home

© PXimport

06 Sandboxie: opstart

Een uitstekend alternatief voor de Windows Sandbox is de freeware-tool Sophos Sandboxie, die werkt onder alle versies van Windows 7 en hoger, inclusief Windows Home. Na installatie tref je bij de eerste opstart weliswaar al een zandbak met de naam Sandbox Default aan, maar die is dan leeg. Vanuit het contextmenu kun je de naam trouwens aanpassen.

Je kunt bijvoorbeeld een browser binnen zo’n zandbak draaien door met rechts op je zandbak te klikken en Gesandboxt uitvoeren / Webbrowser starten te kiezen. Je kunt de werking makkelijk uittesten: download een willekeurig bestand en plaats dat op je bureaublad. Je zult merken dat het niet op je reguliere bureaublad terechtkomt, maar op het bureaublad van je sandbox.

© PXimport

07 Sandboxie: werking

Meteen na deze download duikt er een venster op met de naam ‘Onmiddellijk herstel’. Wil je het gedownloade bestand uit de afgeschermde omgeving alsnog op je echte bureaublad, klik dan op de knop Herstellen.

Het is ook achteraf nog mogelijk bestanden uit een zandbak te halen. Hiervoor open je in het hoofdvenster van Sandboxie het menu Beeld / Bestanden en mappen. Vervolgens navigeer je naar het gewenste bestand. Vanuit het contextmenu kun je het dan naar de gewenste locatie overhevelen. Terugkeren naar het Sandboxie-venster doe je via het menu Beeld / Programma’s.

Om andere applicaties in je zandbak uit te voeren klik je met rechts op je zandbak en kies je Gesandboxt uitvoeren / Programma uitvoeren of Uitvoeren vanaf startmenu. Een nieuwe zandbak maak je via Sandbox / Nieuwe sandbox aanmaken.

Om een programma uitsluitend nog in een zandbak te kunnen draaien klik je met rechts op je zandbak en kies je Sandbox-instellingen. Open de rubriek Start programma en klik op Geforceerde programma’s / Programma toevoegen / Bestanden openen/selecteren. Verwijs naar het programmabestand en bevestig je keuze. Om het programma snel te kunnen starten kun je er in de Verkenner met rechts op klikken en Gesandboxt uitvoeren kiezen (werkt niet met alle programma’s).

© PXimport

08 Toolwiz Time Freeze

Ook Toolwiz Time Freeze (geschikt voor Windows XP en hoger) is een sandboxing-tool, maar dan eentje die als het ware je hele systeem in de zandbak stopt. Letterlijk alle schrijfoperaties, althans die van je Windows-partitie, worden naar een cachebestand omgeleid en na een herstart van je systeem wordt die cache automatisch weer geledigd. Tijdens de installatie worden wel een paar kernel-drivers op je systeem gezet, dus maak voor alle zekerheid eerst een systeemback-up.

Tijdens de installatie kun je de standaardinstellingen ongemoeid laten. Na een herstart van je pc start je de tool. Klik met rechts op het programma-icoontje in het Windows systeemvak en kies Show Program, waarna je op de knop Start Time Freeze druk. Alle wijzigingen op je systeempartitie zullen nu na een herstart automatisch verdwijnen. Dat kun je uittesten door bijvoorbeeld enkele bestanden toe te voegen of te verwijderen, of het uitzicht van je bureaublad te wijzigen.

Je kunt een sessie ook altijd beëindigen door Stop Time Freeze aan te klikken. Na je bevestiging herstart Windows automatisch en worden alle wijzigingen genegeerd.

We geven nog even mee dat je in het hoofdvenster via Enable Folder Exclusion when Time Freeze is ON bestanden buiten de bescherming van Toolwiz Time Freeze kunt plaatsen. Het volstaat die hier via de knoppen Add File of Add Folder toe te voegen. Deze data blijven dan na een herstart behouden.

© PXimport

Systeemvirtualisatie

© CIDimport