Programma’s onder Windows maken vaak schaamteloos misbruik van hun uitgebreide bevoegdheden. Sandboxie-Plus beperkt deze bevoegdheden tot het absolute minimum om zo cryptotrojans te blokkeren en dataverlies te voorkomen. Tijdens de test heeft Sandboxie zelfs ongewenste toegang tot het werkgeheugen weten te voorkomen.
Schrijf je in voor de nieuwsbrief:
Onder Windows heeft malware een aanzienlijk voordeel, omdat het dezelfde rechten heeft als de ingelogde gebruiker. Dit betekent dat het vrijelijk bestanden kan lezen en schrijven, toegang heeft tot het werkgeheugen, gegevens naar het internet kan verzenden, en nog veel meer. In tegenstelling tot moderne sandbox- en autorisatieconcepten die we kennen van smartphone-besturingssystemen, ontbreekt dit in Windows. Hoewel Windows weliswaar een sandbox heeft, fungeert deze meer als een virtuele machine met zijn eigen Windows-versie.
Een antivirusprogramma zoals Windows Defender biedt slechts beperkte bescherming, aangezien het niet in staat is alle gevaarlijke code te detecteren. In een sandbox kan dergelijke kwaadaardige code echter geen schade aanrichten. Zelfs als software niet direct je computer besmet of bestanden steelt, kan het vaak ongewenste gevolgen hebben bij uitvoering. Veel programma’s laten namelijk rommel achter op de computer die hun verwijderingsroutine niet volledig opruimt. Wanneer ze echter in een sandbox worden uitgevoerd, wordt deze rommel automatisch verwijderd nadat ze zijn afgesloten.
Met Sandboxie-Plus kun je de activiteit van processen tot een minimum beperken door ze te isoleren in een transparante sandbox-omgeving met specifieke toegangsrechten. Alleen wat is toegestaan, wordt strikt geregistreerd. De processen zijn zich niet bewust van deze beperking en kunnen normaal blijven schrijven naar de schijf. Echter, hun gemaakte bestanden worden niet op de gebruikelijke locatie opgeslagen, maar netjes apart in de sandboxmap. Wanneer er leestoegang nodig is, geeft Sandboxie-Plus de bestanden vanuit deze map gewoon door.
Achter de schermen, wanneer Sandboxie-Plus programma’s start, doet het dit met een Windows-gebruiker met zeer beperkte toegangsrechten, die eigenlijk niet genoeg machtigingen heeft om deze programma’s te draaien. Om ervoor te zorgen dat deze geïsoleerde programma’s toch kunnen werken binnen de sandbox, past Sandboxie-Plus standaard een techniek toe waarbij de Windows-functies van de systeembibliotheek ntdll.dll worden omgeleid naar zijn eigen stuurprogramma genaamd SbieDrv.sys, via een proces genaamd hooking. Hierdoor wordt het mogelijk om toegang te krijgen tot bronnen die normaal gesproken niet toegankelijk zouden zijn voor een beperkte gebruiker. Het stuurprogramma zorgt er echter voor dat deze toegang strikt wordt beperkt tot de voorwaarden die zijn gedefinieerd door de gebruiker voor de sandbox. Dit betekent bijvoorbeeld dat Sandboxie-Plus in staat is om het schrijven van een bestand te onderscheppen en om te leiden naar een andere locatie, of te voorkomen dat het geïsoleerde proces informatie leest uit het geheugen van andere processen.
Je kunt Sandboxie-Plus met een paar klikken installeren door het programma te downloaden via de website van Sandboxie-Plus. Na het downloaden, is het gewoon een kwestie van het programma installeren. Na het installeren biedt het kant-en-klare configuratieprofielen aan voor veelgebruikte toepassingen zoals Microsoft Office die het op het systeem detecteert. Dat moet de compatibiliteit verbeteren en ervoor zorgen dat de programma’s soepel starten in de beschermde omgevingen.
Schrijf je in voor de nieuwsbrief:
Je kunt gemakkelijk een willekeurig aantal extra sandboxen aanmaken via de functie ‘Sandbox / Nieuwe box aanmaken’, ongeacht het doel ervan. Deze sandboxen beginnen oorspronkelijk leeg en nemen geen opslagruimte in beslag op de harde schijf. Pas wanneer een proces wordt gestart en er wijzigingen worden aangebracht in het bestandssysteem of het register, wordt er een map aangemaakt voor de betreffende sandbox. Standaard worden de sandboxmappen opgeslagen in C:\Sandbox\gebruikersnaam\sandboxnaam.
Wanneer je de sandboxen opent in Windows Verkenner, zul je een map genaamd “drive” vinden met submappen voor de verschillende stations en een map genaamd “user” voor de gebruikersmap. Daarnaast is er een bestand met de naam “RegHive” dat het register van de sandbox bevat. Via de Sandboxie-Plus interface kun je ook toegang krijgen tot deze bestanden door met de rechtermuisknop op de naam van de sandbox te klikken en “Inhoud verkennen” te selecteren. Hier kun je ook de register-editor van Windows openen met het register van de sandbox.
Bij het aanmaken van een sandbox biedt Sandboxie-Plus vijf extra profielen naast het standaardprofiel, elk met verschillende beveiligingsniveaus. Houd er echter rekening mee dat deze extra profielen betaalde functies activeren die slechts gedurende een beperkte tijd zonder activering kunnen worden gebruikt. Als je deze profielen activeert in de gratis modus voor een sandbox, worden de processen binnen de sandbox na vijf minuten beëindigd. Dit biedt voldoende tijd om de functies te testen en af en toe verdachte processen uit te voeren. Als je geen geld wilt uitgeven, kun je echter ook zeer goed gebruikmaken van de uitgebreide gratis functies die we in deze test zullen bekijken.
Wanneer je een sandbox dubbelklikt, kun je de uitgebreide instellingen openen, waarmee je gedetailleerd kunt aangeven wat programma’s binnen de sandbox wel en niet mogen doen. Premium-functies worden hierbij aangeduid met een klein zegel.
Om een programma in de sandbox te starten, moet je de volgende stappen ondernemen:
Zodra je een programma hebt gestart, zullen de geïsoleerde processen verschijnen in een boomstructuur onder de betreffende sandbox in het sandboxbeheer. Door met de rechtermuisknop te klikken op een vermeld proces, heb je de mogelijkheid om het te beëindigen of een snelkoppeling te maken op het hoofdsysteem, zodat je het de volgende keer gemakkelijk kunt starten.
De meeste toepassingen konden moeiteloos in een sandbox worden gestart en gebruikt, zonder enige merkbare vertraging. Voor uitzonderlijke gevallen waarbij speciale toegangsrechten nodig zijn, kun je vaak configuratietips op het internet vinden.
Geblokkeerde programma’s worden in Sandboxie-Plus gemarkeerd met een geel kader, vergezeld van de markering [#] op de venstertitelbalk. Je hebt ook de mogelijkheid om de naam van de bijbehorende sandbox en de kleur van het kader aan te passen. Hierdoor is het meteen duidelijk in welke omgeving een programma actief is, vergelijkbaar met het zeer veilige besturingssysteem Qubes OS.
Wanneer een programma aanvankelijk wordt gestart in de standaardsandbox, blijft er weinig verandering merkbaar, aangezien het nog steeds toegang heeft tot de meeste bronnen. De spanning komt pas als het programma begint te schrijven naar het systeem. Sandboxie leidt de schrijftoegang naadloos om naar de sandboxmap. Hierdoor worden nieuwe bestanden en registervermeldingen niet verspreid over het hele systeem, zoals normaal gesproken het geval is, maar worden ze netjes van elkaar gescheiden. Een positief neveneffect hiervan is dat je gedetailleerd kunt zien waar een programma zich binnen het systeem verspreidt, of beter gezegd, waar het zich zou hebben verspreid.
Wanneer een reeds bestaand bestand van het hoofdsysteem wordt aangepast en opgeslagen, gebeurt dit zonder overschrijving van het origineel; in plaats daarvan wordt een duplicaat gemaakt en opgeslagen in de sandboxmap. Het geïsoleerde proces is zich niet bewust van deze duplicatie; wanneer het bestand opnieuw wordt geopend, levert Sandboxie-Plus het duplicaat. Als een cryptotrojan de computer binnendringt en probeert de bestanden van het slachtoffer te overschrijven met versleutelde kopieën, kan het de bestanden in de standaard-sandbox wel lezen, maar niet het origineel overschrijven of verwijderen. De versleutelde varianten van de bestanden worden simpelweg opgeslagen in de sandboxmap.
Sandboxie houdt enkele mappen, zoals Downloads en Documenten, in de afgesloten omgeving in de gaten. Wanneer het nieuwe bestanden in deze mappen detecteert, biedt het de mogelijkheid om deze bestanden van de sandbox naar het hoofdsysteem te kopiëren, wat gebeurt via de functie die enigszins verwarrend ‘Bestandsherstel’ wordt genoemd. Deze functie kan worden uitgeschakeld in de sandboxinstellingen als dat gewenst is.
Als je dat wilt, zal Sandboxie-Plus de inhoud van de sandbox automatisch wissen zodra er geen processen meer actief zijn in de sandbox. Hierdoor kun je altijd met een schone lei beginnen in een frisse omgeving. De Snapshots-beheerder, te vinden onder Sandbox Tools, is ook handig. Deze functie behoudt de huidige staat van de sandbox door een kopie van de sandboxmap te maken. Tijdens testen werkte dit snel en soepel.
De sandboxen lenen zich uitstekend voor het installeren van nieuwe software. Wanneer je het installatieprogramma direct in een sandbox uitvoert, bijvoorbeeld door met de rechtermuisknop te klikken in Windows Verkenner en ‘Openen in sandbox’ te selecteren, zullen de programmabestanden opgeslagen worden in de submap drive\C\Program Files van de sandboxmap. Als de geïnstalleerde software niet aan je verwachtingen voldoet, kun je de sandbox gewoon verwijderen of de wijzigingen ongedaan maken met behulp van het ‘Inhoud verwijderen’ item in het contextmenu. Dit kan gedaan worden zonder de installatie volledig te verwijderen, inclusief eventuele resterende bestanden die mogelijk over het hoofd worden gezien door het verwijderingsprogramma. Voordat je dit doet, dien je echter alle bestanden die je wilt behouden en die in de sandbox zijn gemaakt, over te zetten van de sandbox naar het hoofdsysteem, bijvoorbeeld via de functie ‘Bestandsherstel’.
Schrijf je in voor de nieuwsbrief:
Sandboxie-Plus beveiligt standaard ook het werkgeheugen: processen binnen een sandbox hebben geen toegang tot de geheugengebieden van processen die zich in een andere sandbox bevinden of direct op het hoofdsysteem draaien. Deze beveiligingsmaatregel is gecontroleerd met behulp van de hex-editor HxD. Wanneer er pogingen werden ondernomen om toegang te krijgen vanuit de sandbox, ontving het programma alleen nullen als reactie. Dit levert aanzienlijke beveiligingsvoordelen op, aangezien malware doorgaans vrijelijk in het werkgeheugen kan snuffelen en daar zelfs platte wachtwoorden kan vinden die zijn opgeslagen door een wachtwoordbeheerder of browser. Wanneer malware echter in een afzonderlijke sandbox wordt uitgevoerd, wordt dit niet langer mogelijk gemaakt.
Bovendien kunnen er extra beveiligingslagen worden toegevoegd door gebruik te maken van de uitgebreide aanpassingsmogelijkheden van de sandboxen. Bijvoorbeeld, op het tabblad ‘Brontoegang’ van de sandbox-opties kan de leestoegang tot specifieke mappen doelgericht worden uitgeschakeld. Ook kan de toegang tot het netwerk en internet worden beheerd via de instellingen, waardoor programma’s die niet strikt afhankelijk zijn van een internetverbinding geen toegang krijgen tot het netwerk.
Indien je enige kennis hebt van de werking van Windows en vertrouwd bent met Sandboxie Plus, is het mogelijk om de beveiliging van de sandbox verder te optimaliseren door bijvoorbeeld de leestoegang tot het klembord en andere toegangsbeperkingen in te stellen via de instellingen.
Je moet wel realiseren dat Sandboxie-Plus geen echte virtualisatie biedt. In tegenstelling tot virtuele machines zoals Hyper-V of VirtualBox, isoleert Sandboxie de processen niet volledig van het hoofdsysteem. Bovendien kunnen processen gemakkelijk detecteren dat ze in een Sandboxie-omgeving draaien en zich in dat geval discreet gedragen, in de hoop later buiten de sandbox te kunnen opereren. Hierdoor is Sandboxie-Plus niet geschikt voor het analyseren van hardnekkige malware. Desondanks heeft Sandboxie-Plus een aanzienlijk voordeel ten opzichte van virtuele machines: het verbruikt zeer weinig systeembronnen en werkt soepel, zelfs op systemen met beperkte geheugencapaciteit.
Al met al tilt Sandboxie-Plus de klassieke Sandboxie naar een hedendaags niveau en verrijkt deze met een eigentijdse gebruikersinterface en intelligente functies. Zelfs met de gratis versie kunt u de gegevenstoegang van programma’s aanzienlijk beperken, waardoor potentiële schade wordt verminderd in gevallen waarbij bijvoorbeeld een trojan onopgemerkt door beveiligingscontroles glipt. Hoewel de beschermingslaag niet zo robuust is als bij het gebruik van een virtuele machine, is Sandboxie meer geschikt voor dagelijks gebruik vanwege zijn efficiëntere gebruik van systeembronnen. Het is tevens een uitstekende keuze voor het testen van software, aangezien het grondig opruimt en alle datasporen verwijdert die normaal gesproken zouden worden achtergelaten door de verwijderingsprocedure.
Schrijf je in voor de nieuwsbrief:
Is Windows net opgestart via UEFI of via legacy-BIOS? Om die vraag te beantwoorden, circuleren er verschillende tips op internet. In dit artikel legge...
Veel mensen beschouwen de iPhone als een kwalitatief hoogwaardig, maar prijzig toestel, terwijl toestellen die op Android draaien vaak als betaalbaard...
