Tags: Windows 10, Hyper-V, Sicherheit
Mit dem Build 18305 von Windows 10 erweiterte Microsoft seine Virtualization based Security um ein neues Feature. Auf Application-, Credential- und Device-Guard folgt nun die Windows Sandbox. Dabei handelt es sich um eine leichtgewichtige und für Benutzer transparente VM, die beim Beenden alle Änderungen verwirft.
Das Konzept einer abgeschotteten Umgebung für eine Anwendung setzte Microsoft bereits mit dem Application Guard um, allerdings nur für den Web-Browser (siehe dazu: Windows 10 Application Guard: Sicherer Web-Browser in virtueller Maschine). Die Sandbox ist quasi eine generische Form des Application Guard, ohne dessen spezifische Funktionen wie etwa das dauerhafte Speichern von Bookmarks und Downloads.
Keine Installation von Hyper-V erforderlich
Unter der Haube läuft bei der Sandbox eine virtuelle Maschine. Wie bei den anderen Features der Virtualization based Security muss der Anwender aber nicht Hyper-V installieren oder ein eigenes Image für das Gastbetriebssystem bereitstellen. All dies erfolgt automatisch im Hintergrund und damit transparent für den User.
Für diesen Zweck bringt die Sandbox kein virtuelles Laufwerk mit einem vollständigen Windows 10 mit, sondern nutzt die Binaries des Host-OS einfach mit (indem ihre VM überwiegend Links auf die benötigten Dateien des Hosts enthält).
Sie teilt sich mit diesem die DLLs nicht nur auf der Platte, sondern auch im Arbeitsspeicher. In dieser Hinsicht ähnelt die Sandbox mehr einem Container und weist im Vergleich zu einer konventionellen VM eine geringere Isolierung gegenüber den Host-OS auf.
Kein Zugriff auf das lokale Netzwerk
Während normale VMs unter Client Hyper-V eine relativ enge Integration gegenüber dem Host aufweisen, so dass Anwender Dateien dorthin kopieren oder Netzlaufwerke ansprechen können, schottet die Sandbox ihren Inhalt von der Umgebung weitgehend ab. Außerdem enthält sie bei jedem Start ein frisches OS und verwirft beim Beenden sämtliche Änderungen.
So unterbindet sie den Zugriff auf File-Shares und umgekehrt auch die Freigabe von Verzeichnissen in der Sandbox. Der Datenaustausch zwischen Gast und Host ist einzig über Copy & Paste möglich. Wie bei Remotedesktop-Verbindungen üblich, kann man auf diese Weise auch Dateien über RDP kopieren.
Update: Seit dem Build 18342 lässt sich die Sandbox mit XML-Konfigurationsdateien des Typs .wsb anpassen. Damit kann man nicht nur die vGPU (de)aktivieren, sondern auch Host-Verzeichnisse für den Datenaustausch freigeben (siehe dazu meine Anleitung zur Konfiguration der Sandbox).
Power-User als Zielgruppe
Aufgrund ihrer Charakteristik stellt sich die Frage, für welche Szenarien und Anwender sich die Sandbox eignet. Während die Preview noch administrative Rechte für die Sandbox erforderte, läuft sie nun auch im Kontext von Standardbenutzern.
Daher können auch Endanwender, die Programme auf regulärem Weg nicht installieren dürfen, diese stattdessen in der abgeschotteten Umgebung ausführen. Als Dauerzustand dürfte es allerdings ermüdend sein, bestimmte Anwendungen bei jedem Start der Sandbox neu zu installieren. Aber zum Experimentieren oder gelegentlichen Ausführen einer sonst nicht verfügbaren Software eigenet sich die Sandbox allemal.
Unter Usabilty-Gesichtspunkten kommt hinzu, dass für technisch weniger versierte Benutzer das Arbeiten in einem Desktop auf einem Desktop verwirrend sein dürfte.
Nachdem für nicht-technische User die wichtigste Anwendung für eine abgeschottete Umgebung der Web-Browser ist, emphiehlt sich stattdessen Application Guard. Damit läuft Edge nahtlos im Windows-Desktop.
Als naheliegendes Einsatzgebiet käme jedoch eine Admin-Workstation in Frage. Microsoft empfiehlt beim Konzept der Privileged Administrative Workstation (PAW) eine strikte Trennung zwischen den Umgebungen, in der Management-Tools mit erhöhten Rechten laufen und jener, die für alltägliche Arbeiten dient (wie das Browsen im Web).
Mit der Sandbox ließe sich diese Best Practice einfach umsetzen, indem der Systemverwalter die administrativen Aufgaben im Host-System erledigt und andere Tätigkeiten in die abgeschottete Umgebung verlagert.
Vorteile der Sandbox
Gegenüber einer normalen VM hat die Sandbox auf einer PAW gleich mehrere Vorteile:
- Es muss weder eine VM eingerichtet noch darin ein OS installiert werden
- Durch das Code-Sharing mit dem Host ist ihr Ressourcenverbrauch moderat
- Kein Patch-Management ist erforderlich, da die Binaries des Host-OS mitgenutzt werden.
- Alle Benutzerdaten werden nach dem Beenden verworfen, und damit auch Malware. In einer normalen VM mit einer längeren Lebensdauer könnte sie sich einnisten.
- Die Sandbox gewährt keinen Zugriff auf Ressourcen im lokalen Netz und unterbindet so eine Ausbreitung von Schadprogrammen.
Es liegt auf der Hand, dass sich die Sandbox primär für Tätigkeiten eignet, für die Bordmittel wie der Edge-Browser zur Verfügung stehen. Portable Anwendungen lassen sich dort ebenfalls schnell bereitstellen, indem man sie über Copy & Paste in die Sandbox überträgt.
Installiert man Programme, dann gehen diese beim Beenden des Containers genauso verloren wie Benutzerdaten. Aus diesem Grund könnte sich die Sandbox auch für das Testen von unbekannter Software eignen.
Diese läuft im Kontext eines lokalen Sandbox-Users (WDAGUtilityAccount). Installationen, die einen Neustart des Systems verlangen, werden aber nicht unterstützt, ebensowenig Store Apps.
Installation und Systemvoraussetzungen
Windows Sandbox ist als optionales Feature an Bord und kann in die Systemsteuerung hinzugefügt werden. In der App Einstellungen, über die sich solche Zusatzmodule ebenfalls verwalten lassen, fehlt aktuell die Sandbox.
Nachdem das Feature auf Hyper-V beruht, stellt es in puncto Hardware ähnliche Anforderungen wie der Hypervisor. Dazu gehören die Virtualisierungserweiterungen des Prozessors (mit mindestens zwei Cores) sowie realistisch 8GB RAM.
Wer die Windows Sandbox in einer VM ausprobieren möchte, muss für diese die verschachtelte Virtualisierung aktivieren (in der VMware Workstation virtualisiert man dafür Intel-VT bzw. AMD-V sowie die Performance Counter).
Als Editionen werden die Pro und Enterprise von Windows 10 ab Build 18305 benötigt.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Einstellungen für Windows Sandbox (Netzwerk, Scripts, Transferordner) konfigurieren mit kostenlosem GUI-Tool
- Kostenloses E-Book von Microsoft: Windows 10 for IT Professionals
- Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
Weitere Links