Trang chủ » làm thế nào để » Sandboxes giải thích cách họ đã bảo vệ bạn và làm thế nào để Sandbox bất kỳ chương trình nào

    Sandboxes giải thích cách họ đã bảo vệ bạn và làm thế nào để Sandbox bất kỳ chương trình nào

    Sandboxing là một kỹ thuật bảo mật quan trọng nhằm cách ly các chương trình, ngăn chặn các chương trình độc hại hoặc trục trặc làm hỏng hoặc rình mò trên phần còn lại của máy tính của bạn. Phần mềm bạn sử dụng đã đóng hộp nhiều mã bạn chạy mỗi ngày.

    Bạn cũng có thể tạo các hộp cát của riêng mình để kiểm tra hoặc phân tích phần mềm trong môi trường được bảo vệ nơi nó không thể gây ra bất kỳ thiệt hại nào cho phần còn lại của hệ thống của bạn.

    Sandboxes rất cần thiết cho bảo mật

    Một hộp cát là một môi trường được kiểm soát chặt chẽ, nơi các chương trình có thể được chạy. Sandboxes hạn chế những gì một đoạn mã có thể làm, cung cấp cho nó nhiều quyền như nó cần mà không cần thêm các quyền có thể bị lạm dụng.

    Ví dụ: trình duyệt web của bạn về cơ bản chạy các trang web bạn truy cập trong hộp cát. Họ bị hạn chế chạy trong trình duyệt của bạn và truy cập vào một bộ tài nguyên giới hạn - họ không thể xem webcam của bạn mà không được phép hoặc đọc các tệp cục bộ của máy tính. Nếu các trang web bạn truy cập không được hộp cát và cách ly với phần còn lại của hệ thống, truy cập một trang web độc hại cũng sẽ tệ như cài đặt vi-rút.

    Các chương trình khác trên máy tính của bạn cũng được sandbox. Ví dụ: cả Google Chrome và Internet Explorer đều chạy trong hộp cát. Các trình duyệt này là các chương trình chạy trên máy tính của bạn, nhưng chúng không có quyền truy cập vào toàn bộ máy tính của bạn. Họ chạy trong chế độ cấp phép thấp. Ngay cả khi trang web tìm thấy lỗ hổng bảo mật và quản lý để kiểm soát trình duyệt, thì nó sẽ phải thoát khỏi hộp cát của trình duyệt để gây thiệt hại thực sự. Bằng cách chạy trình duyệt web với ít quyền hơn, chúng tôi có được bảo mật. Đáng buồn thay, Mozilla Firefox vẫn không chạy trong hộp cát.

    Những gì đã được Sandboxed

    Phần lớn mã mà thiết bị của bạn chạy mỗi ngày đã được đóng hộp để bảo vệ bạn:

    • Trang web: Trình duyệt của bạn về cơ bản là hộp cát các trang web mà nó tải. Các trang web có thể chạy mã JavaScript, nhưng mã này không thể làm bất cứ điều gì nó muốn - nếu mã JavaScript cố gắng truy cập một tệp cục bộ trên máy tính của bạn, yêu cầu sẽ thất bại.
    • Nội dung trình cắm: Nội dung được tải bởi trình cắm trình duyệt - chẳng hạn như Adobe Flash hoặc Microsoft Silverlight - cũng được chạy trong hộp cát. Chơi trò chơi flash trên trang web an toàn hơn so với tải xuống trò chơi và chạy nó như một chương trình tiêu chuẩn vì Flash cách ly trò chơi với phần còn lại của hệ thống của bạn và hạn chế những gì nó có thể làm. Các trình cắm trình duyệt, đặc biệt là Java, là mục tiêu thường xuyên của các cuộc tấn công sử dụng các lỗ hổng bảo mật để thoát khỏi hộp cát này và gây thiệt hại.
    • PDF và các tài liệu khác: Adobe Reader hiện chạy các tệp PDF trong hộp cát, ngăn chúng thoát khỏi trình xem PDF và giả mạo phần còn lại của máy tính của bạn. Microsoft Office cũng có chế độ hộp cát để ngăn các macro không an toàn làm hại hệ thống của bạn.
    • Trình duyệt và các ứng dụng dễ bị tổn thương khác: Các trình duyệt web chạy ở chế độ hộp cát, cấp phép thấp để đảm bảo rằng chúng không thể gây ra nhiều thiệt hại nếu chúng bị xâm phạm:
    • Ứng dụng di động: Nền tảng di động chạy ứng dụng của họ trong hộp cát. Các ứng dụng cho iOS, Android và Windows 8 bị hạn chế thực hiện nhiều điều mà các ứng dụng máy tính để bàn tiêu chuẩn có thể làm. Họ phải khai báo quyền nếu họ muốn làm gì đó như truy cập vị trí của bạn. Đổi lại, chúng tôi có được một số bảo mật - hộp cát cũng cách ly các ứng dụng với nhau, vì vậy chúng không thể can thiệp lẫn nhau.
    • Chương trình Windows: Kiểm soát tài khoản người dùng hoạt động như một chút của hộp cát, về cơ bản hạn chế các ứng dụng máy tính để bàn Windows sửa đổi các tệp hệ thống mà không cần xin phép bạn trước. Lưu ý rằng đây là bảo vệ rất tối thiểu - bất kỳ chương trình máy tính để bàn Windows nào cũng có thể chọn ngồi dưới nền và ghi nhật ký tất cả các tổ hợp phím của bạn, ví dụ. Kiểm soát tài khoản người dùng chỉ giới hạn quyền truy cập vào các tệp hệ thống và cài đặt toàn hệ thống.

    Làm thế nào để Sandbox bất kỳ chương trình

    Các chương trình máy tính để bàn thường không được sandbox theo mặc định. Chắc chắn, có UAC - nhưng như chúng tôi đã đề cập ở trên, đó là hộp cát rất tối thiểu. Nếu bạn muốn thử nghiệm một chương trình và chạy nó mà không thể can thiệp vào phần còn lại của hệ thống, bạn có thể chạy bất kỳ chương trình nào trong hộp cát.

    • Máy ảo: Một chương trình máy ảo như VirtualBox hoặc VMware tạo ra các thiết bị phần cứng ảo mà nó sử dụng để chạy hệ điều hành. Hệ điều hành khác chạy trong một cửa sổ trên máy tính để bàn của bạn. Toàn bộ hệ điều hành này về cơ bản là hộp cát, vì nó không có quyền truy cập vào bất cứ thứ gì bên ngoài máy ảo. Bạn có thể cài đặt phần mềm trên hệ điều hành ảo hóa và chạy phần mềm đó như thể nó đang chạy trên một máy tính tiêu chuẩn. Điều này sẽ cho phép bạn cài đặt phần mềm độc hại và phân tích nó, ví dụ - hoặc chỉ cài đặt một chương trình và xem liệu nó có làm gì xấu không. Các chương trình máy ảo cũng chứa các tính năng chụp nhanh để bạn có thể quay lại hệ điều hành khách của bạn về trạng thái trước khi bạn cài đặt phần mềm xấu.

    • Sandboxie: Sandboxie là một chương trình Windows tạo các hộp cát cho các ứng dụng Windows. Nó tạo ra các môi trường ảo bị cô lập cho các chương trình, ngăn chúng thực hiện các thay đổi vĩnh viễn cho máy tính của bạn. Điều này có thể hữu ích để thử nghiệm phần mềm. Tham khảo lời giới thiệu của chúng tôi về Sandboxie để biết thêm chi tiết.


    Sandboxing không phải là điều mà người dùng trung bình cần phải lo lắng. Các chương trình bạn sử dụng thực hiện công việc hộp cát trong nền để giữ an toàn cho bạn. Tuy nhiên, bạn nên nhớ những gì được hộp cát và những gì không - đó là lý do tại sao tải trang web bất kỳ an toàn hơn là chạy bất kỳ chương trình nào.

    Tuy nhiên, nếu bạn muốn sandbox một chương trình máy tính để bàn tiêu chuẩn thường không được sandbox, bạn có thể làm điều đó với một trong những công cụ trên.