Microsoft werkt aan 'wegwerpsandbox' voor Windows 10 Enterprise

Microsoft werkt aan een functie met de naam InPrivate Desktop. Hiermee kunnen gebruikers van Windows 10 Enterprise eenmalig een uitvoerbaar bestand in een sandbox draaien, als ze twijfelen over de betrouwbaarheid van het bestand.

Microsoft noemt InPrivate Desktop zelf een snel te gebruiken 'wegwerpsandbox' voor de veilige, eenmalige uitvoer van software die niet vertrouwd wordt. Het bestaan van de functie kwam aan het licht via een Windows 10 Insider Feedback Hub-quest.

Daarin bood Microsoft gebruikers aan de functie te testen. Hiervoor moeten ze over minimaal de 17718-build van Windows 10 Enterprise beschikken, op een systeem met minstens 4GB ram en 5GB vrije schijfruimte en met een processor met minimaal twee cores.

De InPrivate Desktop zou dan toe te voegen te zijn via een app uit de Microsoft Store. De app is daar echter niet te vinden en ook de quest is inmiddels niet meer beschikbaar via de Feedback Hub, constateert Bleeping Computer.

Reacties (59)

Toettoetdaan 10 augustus 2018 10:51

Best nuttig om even een tool van internet op je werk pc te testen, zodat je niet meteen het hele netwerk van een bitlocker voorziet...

Natuurlijk is de eerste vraag; "waarom open je zoiets onbetrouwbaars op je werk pc?" maar helaas, mensen doen dat

comecme @Toettoetdaan • 10 augustus 2018 18:51

Wat is er mis met bitlocker?

-ChRiZz- @comecme • 10 augustus 2018 19:04

huh -1? Ter verduidelijking: Bitlocker is slechts encryptie en voorkomt geen malware.

[Reactie gewijzigd door -ChRiZz- op 23 juli 2024 07:49]

Trommelrem @-ChRiZz- • 11 augustus 2018 12:51

Nee, maar er is malware geschreven in PowerShell waarmee je Bitlocker kunt activeren of wijzigen zodat je ransomware kunt vragen. Best interessant hoe dat werkt. Het nadeel van Bitlocker voor randomware is echter dat het een full disk encryption is, en niet een file encryption. Waar je normaal +- 500 euro per bestand vraagt, wordt er nu +- 500 per disk gevraagd. Een daling van de inkomsten van ransomware.

-ChRiZz- @Trommelrem • 11 augustus 2018 18:44

Klopt, dan moet je wel op een of andere manier adminrechten hebben verkregen. Maar mijn reactie was meer gericht op het onderwerp dat over sandboxing gaat, en toen ik de reactie las " wat is er met met bitlocker?" had ik zoiets van, ehm wat? Leg eens uit, wat heeft dit met sanbxoxing te maken.

Step5 @Toettoetdaan • 10 augustus 2018 20:14

Maar helaas mensen doen dat.

En die klikken dus ook gewoon op dat bestand om uit te voeren en gaan niet moeite doen om wat dan ook extra, zoals rechter-muisklik->open-via-inprivate te doen.
Dan kunnen ze het beter standaard maken en moeite laten doen om iets onbekends met een omweg te "direct" draaien

EraYaN @Step5 • 11 augustus 2018 05:10

Ik verwacht gewoon een GPO die dit kan forceren voor non-whitelisted EXE's of iets dergelijks.

Fraaank @EraYaN • 11 augustus 2018 08:48

Wij draaien AppLocker naar volle tevredenheid op het werk. Initieel misschien wat werk, maar werkt daarna prima.

EraYaN @Fraaank • 11 augustus 2018 12:50

Ik denk dat dit een functie is om de nieuwsgierigheid naar onbekende programma's toch te kunnen bevredigen.

SuperDre @Toettoetdaan • 10 augustus 2018 11:05

Waar moet je het anders op openen? Niet iedereen heeft ook een virtual machine klaar staan. Ik kan het me in iedergeval zeker voorstellen als developer/beheerder dat je soms tools ofzo wilt testen om een probleem op te lossen (vaak kleine tooltjes die op persoonlijke websites van de devs staan).

memphis @Toettoetdaan • 10 augustus 2018 11:16

Maar werkt het ook bij updates? Laatst een update van FormFactory binnen gehaald en zonder enige argwaan was er een fake Norton mee geïnstalleerd en deed mijn FB Messenger moeilijk bij mijn vriendin. Gelukkig was een restorepoint zo gedaan.....

Tokkes @Toettoetdaan • 10 augustus 2018 15:41

als mensen al zomaar wat uitvoeren op hun werk-bakjes:
1. Dan is het permissie-beleid niet echt heel goed op orde
2. Dan gaat een Sandbox ook niets helpen, die user wil gewoon pokeren...

kozue

Besturingssystemen

@Toettoetdaan • 10 augustus 2018 16:23

Als je iets in een VM opent kan het nog steeds computers op het netwerk infecteren (tenzij je het hele netwerk uitschakelt natuurlijk, maar een hoop software heeft dat nodig). En dan ben je zelf ook niet veilig, want zo gauw jij iemand geïnfecteerd heb gaan die geïnfecteerde computer weer door met die van jou

jpsch @Toettoetdaan • 10 augustus 2018 17:36

Waarom moet je naar de app store als je Windows Enterprise draait? Of is dit alleen de testversie?

110124 10 augustus 2018 11:07

Dit lijkt me een erg nuttige functionaliteit, maar

...eenmalig een uitvoerbaar bestand in een sandbox draaien

Veel 'uitvoerbare bestanden' zijn installeerbare programma's. Hoe zal daarmee worden omgegaan? Het lijkt me sterk dat dit dan 'virtueel' op je systeem wordt geïnstalleerd? Of wordt alleen de 'uitvoerbaarheid' en directe gevolgen van het openen van een uitvoerbaar bestand getest met deze functionaliteit en niet de installatie zelf?

Het zou mooi zijn dat je bijvoorbeeld een installatie kunt 'simuleren' en een analyse krijgt van alles wat op je systeem wordt aangepast. Zoals welke bestanden worden aangemaakt of verwijderd, systeembestanden aangepast, veranderingen in het register etc.

[Reactie gewijzigd door 110124 op 23 juli 2024 07:49]

j-phone @110124 • 10 augustus 2018 11:27

Wij gebruikten vroeger Intallwatch Pro om te bekijken wat een setup.exe exact veranderde op een systeem. Aan de hand hand daarvan maakten we packages.

i-chat @j-phone • 10 augustus 2018 18:34

maar dat is wat anders, daarmee impliceer je grotendeels de inhoud van de exe al te vertrouwen.

bij sandbox en nu dus inprivate desktop, ga je er bij voorbaat vanuit dat toegang tot de desktop schadelijk zou kunnen zijn toch heb je blijkbaar iets van het bestand of programmatje nodig.

ik kan me voorstellen dat je die feature gebruikt om keygens te draaien, atachements uit mails te openen en eventueel nieuwe freeware tooltjes te testen. zo'n functie zou ik erg waarderen, hopelijk komt het ook snel naar windows 10 pro home en edu.

j-phone @i-chat • 10 augustus 2018 23:54

Met voeger bedoel ik 15 jaar geleden, dus dat is inderdaad iets anders. We draaiden dat wel binnen een VM. De malware / virussen / trojans / whatever waren toen minder geavanceerd.

Maar dit kun je nu nog steeds, in principe, binnen een sandbox doen. Ik reageerde dan ook op dit gedeelte:

Het zou mooi zijn dat je bijvoorbeeld een installatie kunt 'simuleren' en een analyse krijgt van alles wat op je systeem wordt aangepast. Zoals welke bestanden worden aangemaakt of verwijderd, systeembestanden aangepast, veranderingen in het register etc.

[Reactie gewijzigd door j-phone op 23 juli 2024 07:49]

DigitalExorcist @110124 • 10 augustus 2018 11:33

Eenmalig totdat je je host machine herstart, of de 'sessie' naar die VM stopt lijkt me? Ik neem even aan dat je die VM zelf wel kunt herstarten.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 07:49]

dwarfangel @DigitalExorcist • 10 augustus 2018 15:41

Ja, er zal dus alleen niets van die install sessie achterblijven op je PC. Dus herstart is een frisse sandbox.

Lijkt me zeker nuttige toevoeging, voor kleine exe bestanden waarvan je niet altijd de betrouwbaarheid van de bron kan verifiëren.

zalazar @110124 • 10 augustus 2018 11:15

Als je een zelfde werkwijze zou hanteren als Sandboxie (https://www.sandboxie.com/) dan moet dat prima kunnen werken. Ik werk al jaren met Sandboxie en de meeste programma's installeren ook prima in de Sandbox. Microsoft kennende zal het zeker niet zo uitgebreid worden als Sandboxie waar je ook instelmogelijkheden hebt om bepaalde directories uit te sluiten of Internet accces niet toe te staan.

Anoniem: 84766 @110124 • 10 augustus 2018 12:24

Microsoft heeft zich de laatste jaren ook bezig gehouden met container techniek en Docker. Zou me niks verbazen als ze dit mechanisme gebruiken om een en ander te isoleren.

Mocro_Pimp® @110124 • 10 augustus 2018 17:55

Tja, wat is installeren nou eigenlijk?

Correct me if i'm wrong, maar ik dacht gewoon kopietjes van programmabestanden op een bereikbare locatie plaatsen, en soms wat registervariabelen wijzigen en/of toevoegen.

Dit moet best virtueel kunnen, imho.

geeMc @110124 • 10 augustus 2018 21:10

De requirements zijn onder andere dat virtualisatie in de BIOS aan moet staan (bron: https://www.bleepingcompu...dboxed-execution-feature/), dus het draait wel virtueel. Ik gok dan ook dat Hyper-V - of in ieder geval een afgeslankte versie ervan - mee wordt geinstalleerd (wat best zou kunnen, aangezien het blijkbaar alleen in Enterprise edities komt dus) en dat het een volledige VM spawnt. Leuke ontwikkeling, ik ben benieuwd wanneer we het kunnen proberen

[Reactie gewijzigd door geeMc op 23 juli 2024 07:49]

zazadanger68 10 augustus 2018 10:49

Zou dit dan via Hyper-V gaan?

MAX3400

Microsoft

@zazadanger68 • 10 augustus 2018 10:52

Lijkt me niet want Pro en Enterprise zijn de enige twee versies die je ook al VDI mag draaien en para-virtualisatie is dan soms geen optie meer.

Het lijkt me meer VSS-based, File Screen en aanverwante "in-place" snapshot-technologieen.

zazadanger68 @MAX3400 • 10 augustus 2018 10:55

Het gaat hier toch ook om alleen de "Windows 10 Enterprise" editie? Dus via hyper-v kan een mogelijkheid zijn.

MAX3400

Microsoft

@zazadanger68 • 10 augustus 2018 11:18

Zoals @Rataplan_ aangeeft, in een aantal gevallen kan/wil je niet nogmaals virtualiseren. Aangezien je Windows 10 ook kan virtualiseren op Xen of VMware hypervisors, kan para-virtualisatie vastlopen (of niet mogelijk zijn).

Dan zou het hele sandbox-principe dus alleen werken op Windows 10 bare-metal en dat lijkt me niet waar Microsoft op inzet (zeker niet als je kijkt naar hun business-modellen SaaS en Azure).

musiman

@MAX3400 • 10 augustus 2018 11:45

En toch denk ik dat de functionaliteit van virtualisatie gebruikt gaat worden. Dat is ook al zo met de Windows 10 Enterprise editie feature: Device Guard.

Het lijkt me stug dat er niet iets van virtualisatie gebruikt gaat worden voor deze feature. Microsoft maakt juist gebruik van de virtualisatie technologie om zaken veiliger te maken. Kijk bijvoorbeeld ook eens naar Shielded Virtual Machines.
Ook met containers heeft Microsoft twee soorten: Windows Container en Hyper-V Container. De laatste is helemaal geïsoleerd van het host OS en is daarmee veiliger dan een gewone Windows Container.

Anoniem: 1008949 @musiman • 10 augustus 2018 12:37

Dit is zeer waarschijnlijk een uitbreiding van application guard dat nu al met Edge te gebruiken is.
Een MS security dev zegt dat je straks PDFs kan openen in een sandbox [1].

1: https://twitter.com/dwizzzleMSFT/status/996525240820944896

[Reactie gewijzigd door Anoniem: 1008949 op 23 juli 2024 07:49]

anargeek @Anoniem: 1008949 • 10 augustus 2018 13:29

De omschrijving doet mij ook het meest denken aan een (aangepaste) versie van Application Guard zoals voor Edge. Mooie techniek, die op MS's blog uitgebreid uitgelegd wordt.

even if the attacker’s code is successful in attempting to exploit the browser, the attacker finds their code running in a clean environment with no interesting data, no access to any user credentials, and no access to other endpoints on the corporate network. The attack is completely disrupted. As soon as the user is done, whether or not they are even aware of the attack having taken place, this temporary container is thrown away, and any malware is discarded along with it.

Uiteraard is dit niet voor elke software wenselijk dus ben benieuwd om verder te lezen wat voor impact deze oplossing heeft op applicaties die wel persistence nodig hebben.

EraYaN @anargeek • 11 augustus 2018 05:09

Als applicaties de richtlijnen van Microsoft hebben gevolgd voor "App Data", "User Data" en "Program Data" zal het wel goed komen. Het zijn alle vage dingen die dingen in de root van de harde schijf en dat soort ongein op willen slaan die gaan falen denk ik zo.

Rataplan_ @zazadanger68 • 10 augustus 2018 11:14

Ik denk dat hij bedoeld dat wanneer je een VDI desktop gebruikt, je daarbinnen niet nogmaals Hyper-V kon draaien. Echter, ik meen dat dat achterhaald is: https://docs.microsoft.co...ide/nested-virtualization

MSalters @Rataplan_ • 10 augustus 2018 14:15

Nesting is geen probleem. Je hebt namelijk geen containers in containers nodig. Het is voor de veiligheid voldoende om de verdachte code in een container te draaien. Die container kan ook parallel aan de VDI desktop container draaien.

wica @zazadanger68 • 10 augustus 2018 10:51

Aan de specs te zien, denk ik dat je gelijk hebt, dat het onderwater om Hyper-V gaat.

194673 @zazadanger68 • 10 augustus 2018 11:14

Als je de originele link volgt dan staat daar het volgende in;

"Hypervisor capabilities enabled in BIOS"

Je kan dus redelijkerwijs vanuit gaan dat het in ieder geval virtualisatie techniek betreft, en dan zou het logisch zijn als het over (onderdelen van) Hyper-V gaat.

g4wx3 10 augustus 2018 11:45

is dit om te concurreren met kubernetes?
ipv van voor ieder programma appart een heel OS te virtueel draaien in een VM, met veel overhead van het OS, beperkte flexibiliteit van toewijzen van geheugen en multitasking, kan je met kubernetes onder linux alle programma's draaien in een sandbox recht op 1 linux-kernel, die veel flexibler resources toekent aan ieder programma.
(Niet dat virtualiseren zo slecht is, want de hele wereld doet het)

S0epkip @g4wx3 • 10 augustus 2018 12:17

"de hele wereld doet het" maakt iets niet meteen goed he, dat is gewoon een drogreden.

Het is meer zoiets als 'het is beschikbaar dus het wordt gebruikt', maar of het 'goed' is?

Tokkes @S0epkip • 10 augustus 2018 15:43

Virtualisatie is dan ook niet per se slecht.
Zo goed als on-the-fly kunnen toewijzen van underutilised resources, bijvoorbeeld. Kostenbesparing. Dat soort dingen.

geeMc @g4wx3 • 10 augustus 2018 21:28

Maar wat nou als de kernel van de containerhost vulnerable is? Complete isolatie in containers is een stuk lastiger dan in een virtuele machine, juist omdat het gebruik maakt van die ene kernel van de host. En daarmee bedoel ik niet direct te zeggen dat virtuele machines niet vatbaar zijn voor privilege escalation, maar wel dat het doorgaans een stuk lastiger is om daarin de juiste vulnerability te vinden. Voor dit doeleind lijkt het mij vrij logisch dat ze gebruik maken van virtualisatie in plaats van containers.

Gideon88 10 augustus 2018 11:04

Handig als je af en toe een keer een 30 dagen trail versie ergens van nodig heb.

Bench @Gideon88 • 10 augustus 2018 11:07

Eenmalig gebruik staat er. Dus 30 dagen ga je niet redden denk ik.

ZpAz

@Bench • 10 augustus 2018 11:23

Aangezien alle data die de trial versie wegschrijft om te zien wanneer de 30 dagen ingingen automatisch wordt verwijderd als de "VM" verwijderd wordt, zal de trial elke keer bij dag 1 beginnen.

GekkePrutser @ZpAz • 10 augustus 2018 12:08

Inderdaad. Lijkt me ook niet echt een bezwaar voor trial software makers trouwens, immers kan dit nu ook al gewoon met VMWare of Hyper-V.

En anders kunnen ze altijd nog iets maken met online registratie.

bn326160 @Bench • 10 augustus 2018 11:25

Het lijkt me niet dat je het slechts eenmalig kan uitvoeren in de sandbox, eerder dat je progressie en settings niet bewaard blijven bij het sluiten van de sandbox.

Bench @bn326160 • 10 augustus 2018 11:53

Ja dus voor eenmalig gebruik aangezien er niets word opgeslagen.. Het is gewoon een programma openen in een veilige omgeving (niet schadelijk voor je huidige systeem)

PolarBear @Gideon88 • 10 augustus 2018 11:56

30 dagen trail

Veel mensen schrijven het fout, het is trial (test/proef) of trail (spoor).

BartDG 10 augustus 2018 10:51

Dit is dan een soort Sandboxie binnen Windows? Cool!

3raser @BartDG • 10 augustus 2018 13:47

Het is Sandboxie maar dan met belachelijk hoge systeemeisen.

Maulwurfje 10 augustus 2018 12:42

Ik hoop dat deze feature ook naar de consumenten Windows doorlekt. Toevallig heb ik deze week nog een situatie gehad waarin deze feature erg handig voor is.

Reveal! @Maulwurfje • 10 augustus 2018 13:30

https://www.sandboxie.com/
is er ook voor jou

Het bestaat al & werkt perfect!

hbt68 10 augustus 2018 14:45

Ik vraag me af in hoeverre de Malware hier dan op inspeelt. Detectie van de Sandbox en dan niets malicious uitvoeren. er zijn al zat virussen die op een VM geen kwaad doen omdat ze niet willen dat Virus onderzoekers in een "lege" VM testen wat er gebeurd. En dat alleen op baremetal OS doen.

the_shadow @hbt68 • 10 augustus 2018 17:06

Dat soort detectie wordt vaak gedaan door te kijken naar de hardware van het systeem waar op gedraaid wordt. Als er iets van VMware hardware te vinden is, dan is het natuurlijk een VM en draait de malware niet. Als deze feature een soort geavanceerde folder redirection is, dan is het nagenoeg onmogelijk voor een tool om te zien of het een VM is of niet, zeker niet als de check of de feature is ingeschakeld door een willekeurige applicatie wordt voorkomen.

Brilsmurfffje

10 augustus 2018 11:04

Er is binnen Microsoft al ervaring met dit soort sandbox omgevingen, onder andere de mail gebruikt dit om attachments te testen in zogeheten detonation chambers:
https://products.office.c...e-email-threat-protection

Interessante techniek en het verspreiden via de Windows Store is handig voor de systeemadmin! Het huidige Ubuntu via de store werkt ook meer dan prima

[Reactie gewijzigd door Brilsmurfffje op 23 juli 2024 07:49]

Simkin 10 augustus 2018 11:04

Hoe werkt dat dan als de executable allemaal libraries nodig heeft? e.g. .NET installaties. Kan je die dan ook installeren binnen je sandbox?

Op dit item kan niet meer gereageerd worden.

Microsoft werkt aan 'wegwerpsandbox' voor Windows 10 Enterprise

Lees meer

Reacties (59)

Sorteer op:

Weergave: