Gestern stellte Microsoft sein neuestes Sicherheits-Feature für das kommende Windows 10 Frühjahres-Update vor, welches den Namen Windows Sandbox trägt. Hierbei simuliert das Bordeigene Emulationssystem Hyper-V das Windows 10 welches auch auf dem PC installiert ist. Hyper-V stammt ursprünglich aus der Server-Version von Windows und dient dazu, komplette Systeme mit Prozessor, RAM, etc zu simulieren. Seit Windows 8 ist das Tool auch Teil der Windows Client-Systeme, die Nutzung bleibt allerdings der Pro bzw. der Enterprise-Version vorbehalten. Eine der Vorteile von Hyper-V ist es, dass das Gast-Betriebssystem komplett isoliert vom restlichen System läuft. Befindet sich also Schadcode in dieser virtuellen Maschine, so kann dieser nicht auf das Host-System übergreifen. Diesen Vorteil macht sich Microsoft für das kommende Sandbox-Feature zu nutze.
Windows Sandbox – Perfekt zum überprüfen von Anwendungen und Dateien
Die Sandbox ist zwar eine virtuelle Maschine, wird aber nach beenden der Sitzung komplett gelöscht, sodass beim nächsten Start wieder die ursprüngliche Version vorhanden ist.
Während eine normale virtuelle Maschine eine sogenannte virtuelle Festplatte anlegt, auf welcher sich zum Beispiel das Betriebssystem und Benutzerdateien befinden, benötigt Windows Sandbox kein zusätzliches Image. Auf jedem Windows-PC befindet sich ein Image, welches unter anderem zum Zurücksetzen des PC verwendet wird. Eben dieses Image verwendet auch die Sandbox.
Dennoch kann es vorkommen, dass sich während der Verwendung bestimmte Dateien verändern. Das kann durch die Installation verschiedener Programme geschehen und ist nichts besonderes. Beim nächsten Start wären allerdings eben diese Dateien nicht mehr im Original-Zustand. Microsoft hat das sehr gut gelöst. Über dem Original-Image legt die Sandbox ein sogenanntes dynamisches Basispaket. Dieses beinhaltet ein Abbild sämtlicher Dateien. Ein Großteil der darin befindlichen Dateien sind nur Links von Dateien, welche nicht verändert werden dürfen. Der Rest der Dateien besteht aus 1:1-Kopien. Beendet ein Benutzer seine Sitzung, löscht die Sandbox dieses Basispaket und beim nächsten Start sind wieder die Originaldateien vorhanden.
Wer bekommt die neue Sandbox?
Wie ich bereits weiter oben festgehalten habe, basiert die Sandbox auf dem Tool Hyper-V. Dieses ist nur den Pro und Enterprise-Varianten vorbehalten. Somit werden auch nur Benutzer dieser Versionen die Windows Sandbox aktivieren und verwenden können. Das bestätigte Microsoft auch in dem zugrunde liegendem Blog-Beitrag in der Microsoft Tech Community. Windows Insider können das neue Feature wohl im kommenden Windows 19H1-Build testen (In dem Beitrag ist die Rede von Build 18305).
Außerdem gibt es einige Hardware-Einschränkungen:
- Ein Prozessor mit x64-Architektur ist von nöten
- Im BIOS muss das Virtualisierungs-Feature aktiv sein
- Es sind mindestens 4GByte RAM erforderlich (Microsoft empfiehlt mindestens 8GByte)
- Für die Konfiguration und das dynamische Basispaket werden ~1GByte freier Speicher benötigt
- Microsoft empfiehlt eine SSD-Festplatte
- Der verbaute Prozessor muss mindestens 2 Kerne besitzen (Microsoft empfiehlt mindestens 4 Kerne)
Was haltet ihr von diesem Sicherheits-Feature. Einige Benutzer fragen ja schon seit Jahren nach einem solchen Feature. Werdet ihr die Sandbox benutzen oder verwendet ihr vielleicht ein Tool eines Drittanbieters. Schreibt es uns in die Kommentare.
Quelle: Microsoft Tech Community
Das System gab’s bei Windows Phone 8.1 auch schon.
In welcher Form? Das wusste ich noch gar nicht
In welcher Form soll es das bei WP schon gegeben haben?
Super jetzt brauch ich mir sowas nicht mehr selber bauen. Her damit 😀
ist nicht ähnliches System auf der Xbox implementiert? Dort wird Windows auch in doppelter Ausführung auf einer VM gestartet.
Wenn „es einfach funktioniert“ kann ich mir das sehr gut vorstellen, sobald der user aber aktiv werden muss oder sollte, hat das wenig Sinn
Was bitte gibt es von Microsoft, das „einfach funktioniert“?
welches Gerät, gibt es mit einige Hardware-Einschränkungen: Microsoft empfiehlt ?
Ein Prozessor mit x64-Architektur ist von nöten
Im BIOS muss das Virtualisierungs-Feature aktiv sein
Es sind mindestens 4GByte RAM erforderlich (Microsoft empfiehlt mindestens 8GByte)
Für die Konfiguration und das dynamische Basispaket werden ~1GByte freier Speicher benötigt
Microsoft empfiehlt eine SSD-Festplatte
Der verbaute Prozessor muss mindestens 2 Kerne besitzen (Microsoft empfiehlt mindestens 4 Kerne)
Was hier scheinbar vergessen wurde: Hyper-V funktioniert NICHT, wenn auf dem System schon ein anderer Virtualisierer (Virtualbox, VMWare etc.) installiert ist. Und da die Disposable-Sandbox auf Hyper-V basiert, kann man sich abmühen wie man will, man kriegt das Ding nicht zum Laufen.
Gut zu wissen
Naja mit der richtigen User-Awareness ein erster Schritt gegen „Ransomware“ oder anderes unliebsames kompromittierendes Material. Damit eignet sich die Windows Sandbox zur Ausführung von Dateien aus fragwürdigen Quellen (zum Beispiel verdächtige E-Mail-Anhänge). Die Frage ist nur, wer kommt alles in den Genuss? Nur User mit administrativen Rechten (geht gar nicht im Unternehmen!)?