Sandboxie-Plus: sluit je programma’s op in een sandbox

Elwin Hodžić
0

Inhoudsopgave

    Onder Windows hebben programma’s vele bevoegdheden en daar maken ze niet zelden schaamteloos misbruik van. Sandboxie-Plus beperkt de toegangsrechten tot het absolute minimum om cryptotrojans tegen te houden en dataverlies te voorkomen. Bij de test kon Sandboxie zelfs ongewenste toegang tot het werkgeheugen voorkomen.

    Sandboxie-Plus: sluit je programma’s op in een sandbox


    Gratis het laatste nieuws ontvangen over Windows tools? Schrijf je in voor de nieuwsbrief:

    Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

    Wat wordt bedoeld met sandbox?

    Malware heeft het makkelijk onder Windows omdat het alles mag doen wat de ingelogde gebruiker ook mag doen: bestanden lezen en schrijven, toegang tot het werkgeheugen, gegevens naar internet sturen en nog veel meer. Een modern sandbox- en autorisatieconcept, zoals bekend van smartphone-besturingssystemen, is er niet. Windows heeft zelf wel een sandbox, maar dat is meer een virtuele machine met een eigen Windows-versie.

    Een antivirusprogramma zoals Windows Defender helpt slechts in beperkte mate, omdat het niet alle gevaarlijke code kan detecteren. In een sandbox kan dergelijke code echter geen schade aanrichten. Zelfs als software je computer niet meteen besmet of bestanden afpakt, heeft het uitvoeren ervan vaak vervelende gevolgen. Veel programma’s laten rotzooi achter op de computer die door hun verwijderingsroutine niet wordt verwijderd. Als ze in een sandbox draaien, verdwijnt de rommel automatisch nadat ze zijn afgesloten.

    Wat is het voordeel van Sandboxie-Plus?

    Met Sandboxie-Plus kun je het bereik van processen tot een minimum beperken. Het draait ze in een transparante sandbox-omgeving in een map met toegangsrechten. Wat is toegestaan, wordt nauwkeurig vastgelegd. De processen zijn daar niet van op de hoogte, zij kunnen blijven schrijven naar de schijf – maar hun bestanden komen niet terecht op de eigenlijke bestemming, maar netjes gescheiden daarvan in de sandboxmap. Bij leestoegang geeft Sandboxie-Plus de bestanden van daaruit gewoon door.

    Wat kun je met Sandboxie-Plus?

    Achter de schermen start Sandboxie-Plus de programma’s met een sterk beperkte Windows-gebruiker die eigenlijk onvoldoende toegangsrechten heeft om ze te gebruiken. Om de geïsoleerde programma’s in de sandbox toch te laten werken, leidt Sandboxie-Plus de Windows-functies van de systeembibliotheek ntdll.dll standaard om naar zijn stuurprogramma SbieDrv.sys door middel van hooking. Daardoor is toegang mogelijk tot bronnen die anders niet toegankelijk zijn voor een beperkte gebruiker. Het stuurprogramma zorgt ervoor dat alleen toegang wordt verleend binnen de door de gebruiker gedefinieerde sandbox-voorwaarden. Sandboxie-Plus kan bijvoorbeeld het schrijven van een bestand onderscheppen en omleiden naar een andere map of voorkomen dat het geïsoleerde proces het geheugen van andere processen leest.

    Hoe installeer je Sandboxie-Plus?

    Je kunt Sandboxie-Plus met een paar klikken installeren door het programma te downloaden via de website van Sandboxie-Plus. Na het downloaden, is het gewoon een kwestie van het programma installeren. Na het installeren biedt het kant-en-klare configuratieprofielen aan voor veelgebruikte toepassingen zoals Microsoft Office die het op het systeem detecteert. Dat moet de compatibiliteit verbeteren en ervoor zorgen dat de programma’s soepel starten in de beschermde omgevingen.

    Sandboxen aanmaken met Sandboxie-Plus

    Zo kun je via de optie ‘Sandbox / Nieuwe box aanmaken’  gemakkelijk een willekeurig aantal extra sandboxen aanmaken, voor welk doel dan ook. Die zijn aanvankelijk leeg en nemen geen ruimte in op de schijf. Alleen wanneer een proces wordt gestart en wijzigingen worden aangebracht in het bestandssysteem of het register, wordt een map aangemaakt voor de box. Standaard staan de sandboxmappen in C:\Sandbox\gebruikersnaam\sandboxnaam.

    Als je daar met Windows Verkenner in kijkt, vind je een map genaamd drive met submappen voor de afzonderlijke stations en een map genaamd user voor de gebruikersmap. Er is ook een bestand genaamd RegHive met het register van de sandbox. Via de interface van Sandboxie-Plus zijn die bestanden ook toegankelijk door met de rechtermuisknop op de sandboxnaam te klikken en bij Box-inhoud ‘Inhoud verkennen’ te kiezen. Daar kun je ook de register-editor van Windows meteen openen met het sandbox-register.

    Bij het maken van een box biedt Sandboxie-Plus naast het standaardprofiel vijf extra profielen met verhoogde of verlaagde beveiliging. Die activeren echter betaalde functies die slechts gedurende een beperkte periode zonder activering gebruikt kunnen worden. Als je ze activeert in de gratis modus voor een sandbox, worden de in de sandbox gestarte processen na vijf minuten beëindigd. Dat is voldoende om de functies te testen en er af en toe een verdacht proces mee te starten. Als je geen geld wilt uitgeven, kom je ook heel ver met de uitgebreide gratis functies we in deze test naar kijken.

    Na een dubbelklik op een sandbox worden de uitgebreide instellingen geopend, waarmee je in detail kunt aangeven wat de programma’s in de sandbox wel en niet mogen doen. Premium-functies zijn daarbij gemarkeerd met een klein zegel

    Programma’s geïsoleerd starten via Sandboxie-Plus

    Om een programma in de sandbox te starten, moet je de volgende stappen ondernemen:

    • Klik met je rechtermuisknop op een sandbox in het sandboxbeheer
    • Selecteer Uitvoeren
    • Vervolgens biedt Sandboxie-Plus dan de mogelijkheid programma’s uit het startmenu te starten, de standaard browser en mailprogramma en onder meer Opdrachtprompt.

    Na het starten verschijnen de geïsoleerde processen in het sandboxbeheer in een boomstructuur onder de sandbox. Door rechts te klikken op een daar vermeld proces, kun je het onder meer beëindigen of een snelkoppeling maken op het hoofdsysteem om het de volgende keer handig te starten.

    Werkt Sandboxie-Plus probleemloos met alle toepassingen?

    We konden de meeste toepassingen zonder problemen starten en gebruiken in een sandbox. We konden daarbij geen merkbaar snelheidsverlies vaststellen. Voor uitzonderlijke gevallen, waarvoor je speciale toegangsrechten moet vrijgeven, kun je vaak configuratietips vinden op het internet.

    De vensters van de geblokkeerde programma’s worden gemarkeerd met een geel kader. Zo voegt Sandboxie-Plus de markering [#] op de venstertitelbalk toe. Desgewenst verschijnt daar ook de naam van de betreffende sandbox en kun je de kleur van het kader kiezen. Op die manier is het op het eerste gezicht duidelijk in welke omgeving een programma draait. Dit is vergelijkbaar met het zeer veilige besturingssysteem Qubes OS.

    Na het starten in de standaardbox verandert er aanvankelijk weinig voor een programma, aangezien het nog steeds toegang heeft tot de meeste bronnen. Het wordt spannend wanneer het programma naar het systeem schrijft. Sandboxie leidt de schrijftoegang transparant om naar de sandboxmap. Nieuwe bestanden en registervermeldingen liggen dus niet zoals gewoonlijk verspreid over het hele systeem, maar worden netjes van elkaar gescheiden. Dat heeft als positief bijeffect dat je in detail kunt zien waar een programma zich in het systeem verspreidt  of liever gezegd: waar het zich zou hebben verspreid.

    Wat gebeurd er met bestanden van het hoofdsysteem die gewijzigd worden?

    Als een reeds bestaand bestand van het hoofdsysteem gewijzigd en opgeslagen wordt, wordt het origineel niet overschreven, maar wordt een kopie gemaakt in de sandboxmap. Het geïsoleerde proces is zich daar niet van bewust: als hij het bestand opnieuw opent, geeft Sandboxie-Plus de kopie door. Als een cryptotrojan de computer binnendringt en probeert de bestanden van zijn slachtoffer te overschrijven met versleutelde kopieën, kan hij de bestanden in de standaard-sandbox lezen, maar het origineel niet overschrijven of wissen. De versleutelde varianten van de bestanden zouden gewoon in de sandboxmap terechtkomen.

    Sandboxie bewaakt binnen de afgesloten omgeving enkele mappen zoals Downloads en Documenten. Zodra het daar nieuwe bestanden ontdekt, biedt het aan die van de sandbox naar het hoofdsysteem te kopiëren via het enigszins misleidend genoemde Bestandsherstel. Die nogal opdringerige functie kan worden uitgeschakeld bij de sandboxinstellingen.

    Indien gewenst leegt Sandboxie-Plus de inhoud van de sandbox automatisch wanneer er geen processen meer in de box draaien. Zo kun je altijd opnieuw beginnen in een schone omgeving. De Snapshots-beheerder, te vinden onder Sandbox Tools, is ook nuttig. Hij behoudt de huidige toestand van de box door de sandboxmap te klonen. Dat werkte bij het testen snel en soepel.

    Nieuwe programma's installeren in een sandbox

    De sandboxen zijn ook bij uitstek geschikt voor het installeren van nieuwe programma’s. Als je het installatieprogramma rechtstreeks in een sandbox uitvoert, door bijvoorbeeld bij Windows Verkenner met de rechtermuisknop te klikken en Open Sandboxed te selecteren, komen de programmabestanden terecht in de submap drive\C\Program Files van de sandboxmap. Als de geïnstalleerde software niet aan je verwachtingen voldoet, verwijder je de sandbox gewoon of verwijder je de wijzigingen met het item ‘Inhoud verwijderen’ van het contextmenu – zonder de installatie ongedaan te hoeven maken en inclusief eventuele bestandsresten die het verwijderingsprogramma over het hoofd zou kunnen zien. Voordat je dat doet, moet je echter alle bestanden die je in de sandbox hebt gemaakt die je wel wilt behouden, overzetten van de sandbox naar het hoofdsysteem (via bijvoorbeeld het Bestandsherstel).

    Geheugenbescherming van Sandboxie-Plus

    Sandboxie-Plus schermt standaard ook het werkgeheugen af: een proces in een sandbox heeft geen toegang tot de geheugengebieden van processen die in een andere sandbox of rechtstreeks op het hoofdsysteem draaien. We konden dat controleren met de hex-editor HxD. Bij pogingen tot toegang vanuit de sandbox ontving het programma alleen nullen. Dat is een aanzienlijke beveiligingswinst omdat malware normaal gesproken naar believen in het werkgeheugen kan rondkijken en daar ook wachtwoorden in platte tekst kan vinden die een wachtwoordbeheerder of browser opgeslagen heeft. Als de malware in een eigen sandbox draait, is dat niet meer mogelijk.

    Nog meer veiligheid kan worden geboden door de uitgebreide instelmogelijkheden van de sandboxen. Op het tabblad Brontoegang van de sandbox-opties kan bijvoorbeeld de leestoegang tot bepaalde mappen specifiek uitgeschakeld worden. De toegang tot het netwerk en internet kan ook worden geregeld via de instellingen – programma’s die niet per se een internetverbinding nodig hebben, mogen daar geen toegang toe hebben.

    Als je een beetje verstand hebt van hoe Windows werkt en bekend bent met Sandboxie Plus, kun je de beveiliging van de sandbox verder optimaliseren via de instellingen door bijvoorbeeld de leestoegang tot het klembord en andere toegangsbeperkingen in te stellen.

    Iets om rekening mee te houden

    Je moet wel beseffen dat Sandboxie-Plus geen echte virtualisatie is. In tegenstelling tot een virtuele machine met bijvoorbeeld Hyper-V of VirtualBox isoleert Sandboxie de processen niet volledig van het hoofdsysteem. Bovendien kunnen processen makkelijk ontdekken dat ze in een Sandboxie-omgeving draaien en zich in dat geval onopvallend gedragen – in de hoop dat ze later buiten de sandbox mogen spelen. Sandboxie-Plus is daarom ongeschikt voor het analyseren van hardnekkige malware. Vergeleken met virtuele machines heeft Sandboxie-Plus echter ook een doorslaggevend voordeel: het verbruik van hulpbronnen is extreem laag en het draait soepel, zelfs op systemen met weinig geheugen.

    Conclusie

    Sandboxie-Plus brengt de klassieke Sandboxie naar de moderne tijd en vult hem aan met een moderne interface en slimme functies. Zelfs met de gratis versie kan de toegang tot gegevens door programma’s uitgebreid worden ingeperkt. Dat beperkt de mogelijke schade als bijvoorbeeld een trojan door beveiligingscontroles heen glipt. Hoewel de beschermende muur niet zo robuust is als bij het gebruik van een virtuele machine, is Sandboxie meer geschikt voor dagelijks gebruik omdat het minder bronnen gebruikt. De tool is ook een goede keuze voor het uitproberen van software, omdat het achteraf grondig opruimt en datasporen verwijdert die de uninstaller zou achterlaten.

    Lees meer over software in c't magazine 6/2023

    Deel dit artikel

    Elwin Hodžić
    Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

    Lees ook

    Dit is waarom je met nieuwe Intel processors Windows 11 moet gebruiken

    Ben jij van plan om je huidige pc te upgraden of een geheel nieuwe te bouwen met wellicht een nieuwere Intel processor? Twijfel jij bovendien of je Wi...

    Google Colab: Python editor online in je webbrowser

    Met de Google Colab Python IDE is het mogelijk om in je webbrowser Python code te schrijven. Benieuwd naar hoe je met Google Colab Python script kunt ...

    0 Praat mee
    avatar
      Abonneer  
    Laat het mij weten wanneer er