Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft werkt aan 'wegwerpsandbox' voor Windows 10 Enterprise

Microsoft werkt aan een functie met de naam InPrivate Desktop. Hiermee kunnen gebruikers van Windows 10 Enterprise eenmalig een uitvoerbaar bestand in een sandbox draaien, als ze twijfelen over de betrouwbaarheid van het bestand.

Microsoft noemt InPrivate Desktop zelf een snel te gebruiken 'wegwerpsandbox' voor de veilige, eenmalige uitvoer van software die niet vertrouwd wordt. Het bestaan van de functie kwam aan het licht via een Windows 10 Insider Feedback Hub-quest.

Daarin bood Microsoft gebruikers aan de functie te testen. Hiervoor moeten ze over minimaal de 17718-build van Windows 10 Enterprise beschikken, op een systeem met minstens 4GB ram en 5GB vrije schijfruimte en met een processor met minimaal twee cores.

De InPrivate Desktop zou dan toe te voegen te zijn via een app uit de Microsoft Store. De app is daar echter niet te vinden en ook de quest is inmiddels niet meer beschikbaar via de Feedback Hub, constateert Bleeping Computer.

Door Olaf van Miltenburg

Nieuwsco÷rdinator

10-08-2018 • 10:47

59 Linkedin Google+

Submitter: Soggney

Reacties (59)

Wijzig sortering
Best nuttig om even een tool van internet op je werk pc te testen, zodat je niet meteen het hele netwerk van een bitlocker voorziet...

Natuurlijk is de eerste vraag; "waarom open je zoiets onbetrouwbaars op je werk pc?" maar helaas, mensen doen dat :(
Wat is er mis met bitlocker?
8)7 huh -1? Ter verduidelijking: Bitlocker is slechts encryptie en voorkomt geen malware.

[Reactie gewijzigd door -ChRiZz- op 11 augustus 2018 10:15]

Nee, maar er is malware geschreven in PowerShell waarmee je Bitlocker kunt activeren of wijzigen zodat je ransomware kunt vragen. Best interessant hoe dat werkt. Het nadeel van Bitlocker voor randomware is echter dat het een full disk encryption is, en niet een file encryption. Waar je normaal +- 500 euro per bestand vraagt, wordt er nu +- 500 per disk gevraagd. Een daling van de inkomsten van ransomware.
Klopt, dan moet je wel op een of andere manier adminrechten hebben verkregen. Maar mijn reactie was meer gericht op het onderwerp dat over sandboxing gaat, en toen ik de reactie las " wat is er met met bitlocker?" had ik zoiets van, ehm wat? Leg eens uit, wat heeft dit met sanbxoxing te maken.
Maar helaas mensen doen dat.

En die klikken dus ook gewoon op dat bestand om uit te voeren en gaan niet moeite doen om wat dan ook extra, zoals rechter-muisklik->open-via-inprivate te doen.
Dan kunnen ze het beter standaard maken en moeite laten doen om iets onbekends met een omweg te "direct" draaien
Ik verwacht gewoon een GPO die dit kan forceren voor non-whitelisted EXE's of iets dergelijks.
Wij draaien AppLocker naar volle tevredenheid op het werk. Initieel misschien wat werk, maar werkt daarna prima.
Ik denk dat dit een functie is om de nieuwsgierigheid naar onbekende programma's toch te kunnen bevredigen.
Waar moet je het anders op openen? Niet iedereen heeft ook een virtual machine klaar staan. Ik kan het me in iedergeval zeker voorstellen als developer/beheerder dat je soms tools ofzo wilt testen om een probleem op te lossen (vaak kleine tooltjes die op persoonlijke websites van de devs staan).
Maar werkt het ook bij updates? Laatst een update van FormFactory binnen gehaald en zonder enige argwaan was er een fake Norton mee ge´nstalleerd en deed mijn FB Messenger moeilijk bij mijn vriendin. Gelukkig was een restorepoint zo gedaan.....
als mensen al zomaar wat uitvoeren op hun werk-bakjes:
1. Dan is het permissie-beleid niet echt heel goed op orde
2. Dan gaat een Sandbox ook niets helpen, die user wil gewoon pokeren...
Als je iets in een VM opent kan het nog steeds computers op het netwerk infecteren (tenzij je het hele netwerk uitschakelt natuurlijk, maar een hoop software heeft dat nodig). En dan ben je zelf ook niet veilig, want zo gauw jij iemand ge´nfecteerd heb gaan die ge´nfecteerde computer weer door met die van jou ;)
Waarom moet je naar de app store als je Windows Enterprise draait? Of is dit alleen de testversie?
Dit lijkt me een erg nuttige functionaliteit, maar
...eenmalig een uitvoerbaar bestand in een sandbox draaien
Veel 'uitvoerbare bestanden' zijn installeerbare programma's. Hoe zal daarmee worden omgegaan? Het lijkt me sterk dat dit dan 'virtueel' op je systeem wordt ge´nstalleerd? Of wordt alleen de 'uitvoerbaarheid' en directe gevolgen van het openen van een uitvoerbaar bestand getest met deze functionaliteit en niet de installatie zelf?

Het zou mooi zijn dat je bijvoorbeeld een installatie kunt 'simuleren' en een analyse krijgt van alles wat op je systeem wordt aangepast. Zoals welke bestanden worden aangemaakt of verwijderd, systeembestanden aangepast, veranderingen in het register etc.

[Reactie gewijzigd door Tipsko op 10 augustus 2018 11:10]

Wij gebruikten vroeger Intallwatch Pro om te bekijken wat een setup.exe exact veranderde op een systeem. Aan de hand hand daarvan maakten we packages.
maar dat is wat anders, daarmee impliceer je grotendeels de inhoud van de exe al te vertrouwen.

bij sandbox en nu dus inprivate desktop, ga je er bij voorbaat vanuit dat toegang tot de desktop schadelijk zou kunnen zijn toch heb je blijkbaar iets van het bestand of programmatje nodig.

ik kan me voorstellen dat je die feature gebruikt om keygens te draaien, atachements uit mails te openen en eventueel nieuwe freeware tooltjes te testen. zo'n functie zou ik erg waarderen, hopelijk komt het ook snel naar windows 10 pro home en edu.
Met voeger bedoel ik 15 jaar geleden, dus dat is inderdaad iets anders. We draaiden dat wel binnen een VM. De malware / virussen / trojans / whatever waren toen minder geavanceerd.

Maar dit kun je nu nog steeds, in principe, binnen een sandbox doen. Ik reageerde dan ook op dit gedeelte:
Het zou mooi zijn dat je bijvoorbeeld een installatie kunt 'simuleren' en een analyse krijgt van alles wat op je systeem wordt aangepast. Zoals welke bestanden worden aangemaakt of verwijderd, systeembestanden aangepast, veranderingen in het register etc.

[Reactie gewijzigd door j-phone op 10 augustus 2018 23:55]

Eenmalig totdat je je host machine herstart, of de 'sessie' naar die VM stopt lijkt me? Ik neem even aan dat je die VM zelf wel kunt herstarten.

[Reactie gewijzigd door DigitalExcorcist op 10 augustus 2018 11:33]

Ja, er zal dus alleen niets van die install sessie achterblijven op je PC. Dus herstart is een frisse sandbox.

Lijkt me zeker nuttige toevoeging, voor kleine exe bestanden waarvan je niet altijd de betrouwbaarheid van de bron kan verifiŰren.
Als je een zelfde werkwijze zou hanteren als Sandboxie (https://www.sandboxie.com/) dan moet dat prima kunnen werken. Ik werk al jaren met Sandboxie en de meeste programma's installeren ook prima in de Sandbox. Microsoft kennende zal het zeker niet zo uitgebreid worden als Sandboxie waar je ook instelmogelijkheden hebt om bepaalde directories uit te sluiten of Internet accces niet toe te staan.
Microsoft heeft zich de laatste jaren ook bezig gehouden met container techniek en Docker. Zou me niks verbazen als ze dit mechanisme gebruiken om een en ander te isoleren.
Tja, wat is installeren nou eigenlijk?

Correct me if i'm wrong, maar ik dacht gewoon kopietjes van programmabestanden op een bereikbare locatie plaatsen, en soms wat registervariabelen wijzigen en/of toevoegen.

Dit moet best virtueel kunnen, imho.
De requirements zijn onder andere dat virtualisatie in de BIOS aan moet staan (bron: https://www.bleepingcompu...dboxed-execution-feature/), dus het draait wel virtueel. Ik gok dan ook dat Hyper-V - of in ieder geval een afgeslankte versie ervan - mee wordt geinstalleerd (wat best zou kunnen, aangezien het blijkbaar alleen in Enterprise edities komt dus) en dat het een volledige VM spawnt. Leuke ontwikkeling, ik ben benieuwd wanneer we het kunnen proberen :).

[Reactie gewijzigd door geeMc op 10 augustus 2018 21:13]

Zou dit dan via Hyper-V gaan?
Lijkt me niet want Pro en Enterprise zijn de enige twee versies die je ook al VDI mag draaien en para-virtualisatie is dan soms geen optie meer.

Het lijkt me meer VSS-based, File Screen en aanverwante "in-place" snapshot-technologieen.
Het gaat hier toch ook om alleen de "Windows 10 Enterprise" editie? Dus via hyper-v kan een mogelijkheid zijn.
Zoals @Rataplan_ aangeeft, in een aantal gevallen kan/wil je niet nogmaals virtualiseren. Aangezien je Windows 10 ook kan virtualiseren op Xen of VMware hypervisors, kan para-virtualisatie vastlopen (of niet mogelijk zijn).

Dan zou het hele sandbox-principe dus alleen werken op Windows 10 bare-metal en dat lijkt me niet waar Microsoft op inzet (zeker niet als je kijkt naar hun business-modellen SaaS en Azure).
En toch denk ik dat de functionaliteit van virtualisatie gebruikt gaat worden. Dat is ook al zo met de Windows 10 Enterprise editie feature: Device Guard.

Het lijkt me stug dat er niet iets van virtualisatie gebruikt gaat worden voor deze feature. Microsoft maakt juist gebruik van de virtualisatie technologie om zaken veiliger te maken. Kijk bijvoorbeeld ook eens naar Shielded Virtual Machines.
Ook met containers heeft Microsoft twee soorten: Windows Container en Hyper-V Container. De laatste is helemaal ge´soleerd van het host OS en is daarmee veiliger dan een gewone Windows Container.
Dit is zeer waarschijnlijk een uitbreiding van application guard dat nu al met Edge te gebruiken is.
Een MS security dev zegt dat je straks PDFs kan openen in een sandbox [1].


1: https://twitter.com/dwizzzleMSFT/status/996525240820944896

[Reactie gewijzigd door libtak op 10 augustus 2018 12:42]

De omschrijving doet mij ook het meest denken aan een (aangepaste) versie van Application Guard zoals voor Edge. Mooie techniek, die op MS's blog uitgebreid uitgelegd wordt.
even if the attacker’s code is successful in attempting to exploit the browser, the attacker finds their code running in a clean environment with no interesting data, no access to any user credentials, and no access to other endpoints on the corporate network. The attack is completely disrupted. As soon as the user is done, whether or not they are even aware of the attack having taken place, this temporary container is thrown away, and any malware is discarded along with it.
Uiteraard is dit niet voor elke software wenselijk dus ben benieuwd om verder te lezen wat voor impact deze oplossing heeft op applicaties die wel persistence nodig hebben.
Als applicaties de richtlijnen van Microsoft hebben gevolgd voor "App Data", "User Data" en "Program Data" zal het wel goed komen. Het zijn alle vage dingen die dingen in de root van de harde schijf en dat soort ongein op willen slaan die gaan falen denk ik zo.
Ik denk dat hij bedoeld dat wanneer je een VDI desktop gebruikt, je daarbinnen niet nogmaals Hyper-V kon draaien. Echter, ik meen dat dat achterhaald is: https://docs.microsoft.co...ide/nested-virtualization
Nesting is geen probleem. Je hebt namelijk geen containers in containers nodig. Het is voor de veiligheid voldoende om de verdachte code in een container te draaien. Die container kan ook parallel aan de VDI desktop container draaien.
Aan de specs te zien, denk ik dat je gelijk hebt, dat het onderwater om Hyper-V gaat.
Als je de originele link volgt dan staat daar het volgende in;

"Hypervisor capabilities enabled in BIOS"

Je kan dus redelijkerwijs vanuit gaan dat het in ieder geval virtualisatie techniek betreft, en dan zou het logisch zijn als het over (onderdelen van) Hyper-V gaat.
is dit om te concurreren met kubernetes?
ipv van voor ieder programma appart een heel OS te virtueel draaien in een VM, met veel overhead van het OS, beperkte flexibiliteit van toewijzen van geheugen en multitasking, kan je met kubernetes onder linux alle programma's draaien in een sandbox recht op 1 linux-kernel, die veel flexibler resources toekent aan ieder programma.
(Niet dat virtualiseren zo slecht is, want de hele wereld doet het)
"de hele wereld doet het" maakt iets niet meteen goed he, dat is gewoon een drogreden.

Het is meer zoiets als 'het is beschikbaar dus het wordt gebruikt', maar of het 'goed' is?
Virtualisatie is dan ook niet per se slecht.
Zo goed als on-the-fly kunnen toewijzen van underutilised resources, bijvoorbeeld. Kostenbesparing. Dat soort dingen.
Maar wat nou als de kernel van de containerhost vulnerable is? Complete isolatie in containers is een stuk lastiger dan in een virtuele machine, juist omdat het gebruik maakt van die ene kernel van de host. En daarmee bedoel ik niet direct te zeggen dat virtuele machines niet vatbaar zijn voor privilege escalation, maar wel dat het doorgaans een stuk lastiger is om daarin de juiste vulnerability te vinden. Voor dit doeleind lijkt het mij vrij logisch dat ze gebruik maken van virtualisatie in plaats van containers.
Handig als je af en toe een keer een 30 dagen trail versie ergens van nodig heb.
Eenmalig gebruik staat er. Dus 30 dagen ga je niet redden denk ik.
Aangezien alle data die de trial versie wegschrijft om te zien wanneer de 30 dagen ingingen automatisch wordt verwijderd als de "VM" verwijderd wordt, zal de trial elke keer bij dag 1 beginnen.
Inderdaad. Lijkt me ook niet echt een bezwaar voor trial software makers trouwens, immers kan dit nu ook al gewoon met VMWare of Hyper-V.

En anders kunnen ze altijd nog iets maken met online registratie.
Het lijkt me niet dat je het slechts eenmalig kan uitvoeren in de sandbox, eerder dat je progressie en settings niet bewaard blijven bij het sluiten van de sandbox.
Ja dus voor eenmalig gebruik aangezien er niets word opgeslagen.. Het is gewoon een programma openen in een veilige omgeving (niet schadelijk voor je huidige systeem)
30 dagen trail
Veel mensen schrijven het fout, het is trial (test/proef) of trail (spoor).
Dit is dan een soort Sandboxie binnen Windows? Cool!
Het is Sandboxie maar dan met belachelijk hoge systeemeisen.
Ik hoop dat deze feature ook naar de consumenten Windows doorlekt. Toevallig heb ik deze week nog een situatie gehad waarin deze feature erg handig voor is.
https://www.sandboxie.com/
is er ook voor jou :)
Het bestaat al & werkt perfect!
Ik vraag me af in hoeverre de Malware hier dan op inspeelt. Detectie van de Sandbox en dan niets malicious uitvoeren. er zijn al zat virussen die op een VM geen kwaad doen omdat ze niet willen dat Virus onderzoekers in een "lege" VM testen wat er gebeurd. En dat alleen op baremetal OS doen.
Dat soort detectie wordt vaak gedaan door te kijken naar de hardware van het systeem waar op gedraaid wordt. Als er iets van VMware hardware te vinden is, dan is het natuurlijk een VM en draait de malware niet. Als deze feature een soort geavanceerde folder redirection is, dan is het nagenoeg onmogelijk voor een tool om te zien of het een VM is of niet, zeker niet als de check of de feature is ingeschakeld door een willekeurige applicatie wordt voorkomen.
Er is binnen Microsoft al ervaring met dit soort sandbox omgevingen, onder andere de mail gebruikt dit om attachments te testen in zogeheten detonation chambers:
https://products.office.c...e-email-threat-protection

Interessante techniek en het verspreiden via de Windows Store is handig voor de systeemadmin! Het huidige Ubuntu via de store werkt ook meer dan prima

[Reactie gewijzigd door Brilsmurfffje op 10 augustus 2018 11:05]

Hoe werkt dat dan als de executable allemaal libraries nodig heeft? e.g. .NET installaties. Kan je die dan ook installeren binnen je sandbox?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True