Windows 10 Sandbox: Anwendungen in einer isolierten Umgebung ausführen

    Windows 10 Sandbox in StartmenüMit dem Build 18305 von Windows 10 erwei­terte Micro­soft seine Virtualization based Security um ein neues Feature. Auf Application-, Credential- und Device-Guard folgt nun die Windows Sandbox. Dabei han­delt es sich um eine leicht­gewichtige und für Benutzer trans­parente VM, die beim Beenden alle Änderungen ver­wirft.

    Das Konzept einer abge­schotteten Umgebung für eine Anwendung setzte Microsoft bereits mit dem Application Guard um, allerdings nur für den Web-Browser (siehe dazu: Windows 10 Application Guard: Sicherer Web-Browser in virtueller Maschine). Die Sandbox ist quasi eine generische Form des Application Guard, ohne dessen spezifische Funktionen wie etwa das dauerhafte Speichern von Bookmarks und Downloads.

    Keine Installation von Hyper-V erforderlich

    Unter der Haube läuft bei der Sandbox eine virtuelle Maschine. Wie bei den anderen Features der Virtualization based Security muss der Anwender aber nicht Hyper-V installieren oder ein eigenes Image für das Gast­betriebs­system bereit­stellen. All dies erfolgt automatisch im Hintergrund und damit transparent für den User.

    Die Sandbox startet jedes Mal mit einem jungfräulichen Windows 10

    Für diesen Zweck bringt die Sandbox kein virtuelles Laufwerk mit einem vollständigen Windows 10 mit, sondern nutzt die Binaries des Host-OS einfach mit (indem ihre VM über­wiegend Links auf die benötigten Dateien des Hosts enthält).

    Sie teilt sich mit diesem die DLLs nicht nur auf der Platte, sondern auch im Arbeits­speicher. In dieser Hinsicht ähnelt die Sandbox mehr einem Container und weist im Vergleich zu einer konven­tionellen VM eine geringere Isolierung gegenüber den Host-OS auf.

    Kein Zugriff auf das lokale Netzwerk

    Während normale VMs unter Client Hyper-V eine relativ enge Integration gegenüber dem Host aufweisen, so dass Anwender Dateien dorthin kopieren oder Netz­laufwerke ansprechen können, schottet die Sandbox ihren Inhalt von der Umgebung weit­gehend ab. Außerdem enthält sie bei jedem Start ein frisches OS und verwirft beim Beenden sämtliche Änderungen.

    Das virtuelle Netzwerk auf Basis des Hyper-V-Adapters lässt keine Zugriff auf Ressourcen im LAN zu.

    So unterbindet sie den Zugriff auf File-Shares und umgekehrt auch die Freigabe von Verzeichnissen in der Sandbox. Der Daten­austausch zwischen Gast und Host ist einzig über Copy & Paste möglich. Wie bei Remotedesktop-Verbindungen üblich, kann man auf diese Weise auch Dateien über RDP kopieren.

    Dateien lassen sich über Copy & Paste zwischen Host und Gast kopieren.

    Update: Seit dem Build 18342 lässt sich die Sandbox mit einer XML-Konfigu­rations­datei mit der Endung .wsb anpassen. Damit kann man nicht nur vGPU aktivieren oder deakt­ivieren, sondern auch einige der Restrik­tionen lockern.

    So kann man den Zugriff auf das Netzwerk erlauben oder unterbinden, außerdem lassen sich Verzeich­nisse auf dem Host für den Daten­austausch (auch mit Schreib­berechtigung) freigeben.

    Praktisch ist die Option, ein Script beim Hochfahren der VM automatisch zu starten. Auf diese Weise könnte man etwa eine Software von einem File-Share kopieren oder installieren.

    Die Optionen und die Syntax für die Konfigurationsdatei beschreibt dieser Beitrag auf Microsofts TechCommunity.

    IT-Pros als Zielgruppe

    Aufgrund dieser Charakteristik stellt sich die Frage, für welche Szenarien und Anwender sich die Sandbox eignet. Da ihr Start in der aktuellen Preview admini­strative Rechte erfordert, entfällt die Möglichkeit, dass Endbenutzer, die Programme auf regulärem Weg nicht installieren dürfen, diese statt­dessen in der abgeschotteten Umgebung ausführen.

    Unter Usabilty-Gesichtspunkten kommt hinzu, dass für technisch weniger versierte Benutzer das Arbeiten in einem Desktop auf einem Desktop verwirrend sein dürfte.

    Nachdem für nicht-technische User die wichtigste Anwendung für eine abgeschottete Umgebung der Web-Browser ist, emphiehlt sich stattdessen Application Guard. Damit läuft Edge nahtlos im Windows-Desktop.

    Im Unterschied zur Sandbox fügt Application Guard den Browser nahtlos in den Desktop ein

    Als naheliegendes Einsatz­gebiet käme jedoch eine Admin-Workstation in Frage. Microsoft empfiehlt beim Konzept der Privileged Admini­strative Workstation (PAW) eine strikte Trennung zwischen den Umgebungen, in der Management-Tools mit erhöhten Rechten laufen und jener, die für alltägliche Arbeiten dient (wie das Browsen im Web).

    Mit der Sandbox ließe sich diese Best Practice einfach umsetzen, indem der System­verwalter die admini­strativen Aufgaben im Host-System erledigt und andere Tätigkeiten in die abgeschottete Umgebung verlagert.

    Vorteile der Sandbox

    Gegenüber einer normalen VM hat die Sandbox auf einer PAW gleich mehrere Vorteile:

    • Es muss weder eine VM eingerichtet noch darin ein OS installiert werden
    • Durch das Code-Sharing mit dem Host ist ihr Ressourcen­verbrauch moderat
    • Kein Patch-Management ist erforderlich, da die Binaries des Host-OS mitgenutzt werden.
    • Alle Benutzerdaten werden nach dem Beenden verworfen, und damit auch Malware. In einer normalen VM mit einer längeren Lebensdauer könnte sie sich einnisten.
    • Die Sandbox gewährt keinen Zugriff auf Ressourcen im lokalen Netz und unterbindet so eine Ausbreitung von Schadprogrammen.

    Es liegt auf der Hand, dass sich die Sandbox primär für Tätigkeiten eignet, für die Bordmittel wie der Edge-Browser zur Verfügung stehen. Portable Anwendungen lassen sich dort ebenfalls schnell bereitstellen, indem man sie über Copy & Paste in die Sandbox überträgt.

    Installiert man Programme, dann gehen diese beim Beenden des Containers genauso verloren wie Benutzer­daten. Aus diesem Grund könnte sich die Sandbox auch für das Testen von unbekannter Software eignen.

    Beim Schließen der Sandbox warnt diese vor dem Verlust von Daten.

    Diese läuft im Kontext eines lokalen Sandbox-Users (WDAGUtilityAccount). Installationen, die einen Neustart des Systems verlangen, werden aber nicht unterstützt, ebensowenig Store Apps.

    Installation und Systemvoraussetzungen

    Windows Sandbox ist als optionales Feature an Bord und kann in die System­steuerung hinzugefügt werden. In der App Einstellungen, über die sich solche Zusatz­module ebenfalls verwalten lassen, fehlt aktuell die Sandbox.

    Die Sandbox wird als optionales Windows-Feature über die Systemsteuerung hinzugefügt.

    Nachdem das Feature auf Hyper-V beruht, stellt es in puncto Hardware ähnliche Anfor­derungen wie der Hypervisor. Dazu gehören die Virtuali­sierungs­erweiterungen des Prozessors (mit mindestens zwei Cores) sowie realistisch 8GB RAM.

    Wenn man die Sandbox in einer VM ausführen möchte, muss man diese für Nested Virtualization konfigurieren.

    Wer die Windows Sandbox in einer VM ausprobieren möchte, muss für diese die verschachtelte Virtualisierung aktivieren (in der VMware Workstation virtualisiert man dafür Intel-VT bzw. AMD-V sowie die Performance Counter).

    In einer solchen Konfiguration ließ sich die Sandbox in meinem Test nur in der englischen Version nutzen, bei einem lokalisierten Windows blieb sie beim Start hängen oder stürzte gleich ab.

    Als Editionen werden die Pro und Enterprise von Windows 10 ab Build 18305 benötigt.

    Keine Kommentare