用虛擬沙盒筑牢安全防線

■ 江蘇 周勇生

編者按：我們即使用了各式專業的安全工具，往往還是不能避免網絡攻擊。也許有人想到了使用專業的虛擬技術來營造網絡工作環境，不過專業虛擬技術需要高性能的計算機支撐才行。事實上，在計算機硬件檔次、性能配置不高的情況下，利用虛擬沙盤功能為網絡訪問營造一種虛擬環境，就可以保證網絡訪問避免遭遇非法攻擊了，甚至也不用安裝專業安全工具了。

認識虛擬沙盤

所謂虛擬沙盤，可以看成一個運行在系統中的虛擬容器，在該容器中運行一些不是很安全的應用程序，運行過程中的一些非法操作被容器強行隔離，不會影響計算機系統的工作狀態。

伴隨著虛擬技術的逐步成熟，虛擬沙盤得到越來越廣泛的應用，將重要測試操作放到虛擬沙盒中進行寫入保護，是一種很安全的防護手段。因此現在不少用戶會運用虛擬沙盤技術來主動測試病毒程序的破壞力。

借助數據重定向技術，將應用程序生成或調用的數據文件，定向到自身文件夾中。只是這些數據的調整變化，包括注冊表和一些系統的核心數據，常常會借助加載自身的軟件驅動來保護底層數據，這種安全保護屬于驅動級別的保護。

虛擬沙盤屬于被動防御技術，其一旦發現可疑程序時，不會立即攔截并終止其運行，只要當確定是惡意程序時，才會真的終止其運行。虛擬沙盤技術的主要工作流程是，先讓疑似惡意程序的非法行為在虛擬沙盤中充分表演，虛擬沙盤會自動記下其每一個動作。當疑似惡意程序充分暴露其惡意屬性后，該技術就會強制執行系統回滾操作，將惡意程序的操作痕跡和動作抹干凈，恢復計算機系統到原始狀態。

借助外力用沙盤

巧妙通過虛擬系統能夠高效快捷地保護各種操作安全，但在平時工作中，用戶或許更多的是對某些網頁內容訪問不放心，若是單純為了達到這種安全防范目的，就要小題大作地去安裝使用虛擬系統，明顯有點浪費。

這時不妨嘗試使用“Sandboxie”程序的虛擬隔離技術，在計算機系統與IE瀏覽器之間創建一個安全隔離層，當啟動運行IE瀏覽器程序時，瀏覽器程序會被智能工作于虛擬隔離環境，這樣惡意程序通過瀏覽器對計算機系統所進行的各種調整、篡改，只適合隔離環境，而不適用于真實的計算機系統。

這樣，即使不小心感染病毒木馬，計算機系統的安全也不會受到任何的影響。

首次安裝好“Sandboxie”程序后，它就會自動提醒及時生成有關配置文件，以便能按用戶真實需求進行上網訪問。

在該程序主操作窗口中，逐一點選“沙盤”→“創建”命令，來生成一個新的沙盤，接著將需要訪問使用的瀏覽器程序用鼠標直接拖放到沙盤中運行，此時借助該瀏覽器程序訪問的網頁內容，都不會影響到系統的安全，即使被瀏覽的網頁背后暗藏有病毒木馬，也不能破壞真實操作系統中的關聯文件。

當然，用戶也可以在新沙盤右鍵菜單中逐一選擇“在沙盤中運行”→“運行網頁瀏覽器”選項，來將IE瀏覽器程序放置到隔離環境中運行。

為了避免用戶操作失誤，在非隔離環境下不小心開啟了瀏覽器程序的運行狀態，用戶可以通過適當的配置，強制瀏覽器程序必須在虛擬隔離環境下才能正常工作。在“Sandboxie”程序主操作窗口中，逐一點選“沙盤”→“沙盤名稱”→“沙盤設置”→“強制運行程序”命令，在其后彈出的窗口中，導入需要在虛擬隔離環境下工作的網絡連接程序，例如IE瀏覽器程序，確認后退出設置對話框。這樣，日后無論在什么情形下開啟瀏覽器，“Sandboxie”程序都會強制將其工作在虛擬隔離環境中。

Bufferzone也是一種常用虛擬沙盤軟件，它不僅可以營造虛擬系統環境，讓系統中的重要程序不被劫持，防止重要數據被盜竊，而且還能隔離瀏覽器，讓網頁背后的病毒木馬無法破壞真實的計算機系統。任何已知的或未知的惡意程序，都無法逃脫Bufferzone工具編織的法網，因為該工具運行于系統內核，能對所有未知類型的攻擊進行連接，讓操作系統毫發未損。

該工具支持Security through Virtualization這種特殊方式，動態隔離可能存在安全威脅的應用程序，被隔離后的上網程序會時刻受到其監控，一切潛藏有非法攻擊的操作都會被嚴格拒絕。用戶不需要使用它掃描系統，也不需對它執行升級操作，只要簡單通過其“未審核程序虛擬化”技術，重定向IE瀏覽器程序對Windows系統所做的操作到一個虛擬隔離環境中，這樣病毒木馬通過瀏覽器程序所做的各種非法操作都不會被應用到真實的系統中去。

而且，Bufferzone工具還支持“私密文件”功能，可以使通過瀏覽器運行的惡意程序既無法看見也不知道本地系統的私密文件，所有間諜程序、鍵盤記錄程序和木馬都無法盜竊本地計算機系統中的私密數據。

下載安裝好Bufferzone工具后（安裝前必須確保擁有10G大小的剩余空間用來創建虛擬環境，也就是Virtual文件夾），打開系統資源管理器窗口，會發現Virtual文件夾默認位于系統分區中。如果擔心系統分區空間不夠時，可以在安裝過程中，修改目標工具的安裝路徑，讓其指向非系統分區，同時預留更大的磁盤空間，讓虛擬隔離環境支持更多程序的運行。

當BufferZone運 行后，常用軟件如IE、QQ等快捷菜單中，都會出現“Move to bufferzone”、“Open in bufferzome”等功能命令，使用它們可以讓IE瀏覽器等程序在虛擬環境中運行，上網訪問時我們會發現瀏覽器窗口被紅色框包圍，這就意味著，現在我們所進行的一切操作在關閉BufferZone工具后就會消失，現在的各種操作行為都是安全的，不怕任何病毒木馬的攻擊。

其中前面一個命令表示將目標程序移入虛擬隔離環境，以后運行就會直接在虛擬隔離環境中打開。移入虛擬隔離環境的程序都會被BufferZone工具打上特有的標志，表示它們都是BufferZone工具監視的對象，哪個程序進行了非法操作，都逃不過BufferZone的法眼。

后一個命令就是暫時讓目標程序在虛擬隔離環境中運行，當操作退出后，下次目標程序的運行就不會自動處于隔離狀態了。

對于重要的文件夾，如果我們不希望來自網絡的程序偷偷訪問時，也可以使用BufferZone工具將其隔離保護起來。

只要用鼠標右鍵單擊目標文件夾，從彈出的右鍵菜單中，依次點選“BufferZone” →“Confidential：hide from bufferzone”命令，這時目標文件夾中就會出現一把小鎖標志，這代表該文件夾中的數據內容正受到安全保護，處于虛擬隔離環境中的瀏覽器程序或其他程序都不能訪問它。

例如，在經過上述設置操作后，當我們嘗試通過虛擬隔離環境下的IE瀏覽器程序，打開重要文件夾中的某個圖像文件時，系統會出現“無效的圖片文件”提示對話框，這代表隱私內容得到了安全保護。如果希望虛擬隔離環境內外的所有程序，都無法訪問特定的重要文件夾內容時，只要從該文件夾的右鍵菜單中，依次選擇執行“BufferZone”→“Forbidden：deny all access”命令即可。

擁有了BufferZone工具，網絡上的任何病毒木馬攻擊都得靠邊站，因為它用一個虛擬的“安全緩沖區”隔離非信任程序，病毒木馬無法接觸到真實系統，自然談不上威脅系統安全了。

借助內力用沙盤

在手頭沒有外力利用的情況下，我們也可以將目光瞄向Windows系統的自身功能。

例如，在Windows 10系統環境下，大家可以巧妙利用內置的Windows Defender Application Guard功能組件來實現虛擬沙盤技術，安全隔離用戶的一些不安全操作，確保他們的網絡訪問正常。

在默認狀態下，Windows 10系統沒有啟用Windows Defender Application Guard功能，此時可以打開計算機系統的控制面板窗口，雙擊其中的“Windows功能”圖標，進入對應功能的列表界面，選中“Windows Defender應用程序防護”功能選項，確認后按照提示啟用對應系統組件，重新啟動計算機，這樣，上述功能就正式生效了。

日后想借助該功能保護網頁瀏覽操作時，可以在運行Edge瀏覽器后，依次選擇“菜單”→“新建應用程序防護窗口”命令，就會彈出一個受到安全保護的新操作窗口。這時，Windows Defender Application Guard功能就會自動進行隔離環境初始化操作，在初始化任務完成后，系統會彈出一個全新的微軟Edge瀏覽器，該窗口左上側有明顯的“應用程序保護”提示，窗口邊緣的顏色也是與之前不同，用戶能很直觀地看出當前的工作窗口正處于安全保護狀態。

在這個受保護的工作窗口中所進行的任何網頁訪問操作都會被強制隔離在一個安全獨立的虛擬沙盤環境中，而且它的安全防護效果幾乎就是在真正的虛擬機中使用Edge瀏覽器上網訪問一樣。

例如，在這個受保護的工作窗口中訪問到掛馬網頁或者是無意中下載了惡意程序時，這些操作都會被虛擬沙盤自動隔離，不會影響到操作系統的運行安全。當關閉了Edge瀏覽窗口時，各種操作產生的痕跡都會被自動抹除，那么惡意程序產生的威脅操作自然也會被清零，最終主機系統也不會受到任何影響。

默認狀態下啟用Windows Defender Application Guard功能的虛擬沙盤后，在保護模式下下載獲得的數據，是無法存儲到主機系統的。如果既希望使用虛擬沙盤來保護上網安全，又希望能夠依照實際情況有針對性地提取隔離系統的相關數據時，在這里大家可以合理地配置Windows系統的組策略參數。

比方說，要進行一些危險性測試操作時，考慮到安全方面的因素，或許需要在虛擬沙盤環境下訪問一些惡意站點，同時需要將一些病毒代碼拷貝到主機系統中存儲。這個時候不妨在系統組策略中，啟用從隔離系統中復制或粘貼的功能。下面就是詳細的操作步驟：

首先打開系統的運行對話框，輸入“gpedit.msc”命令并確認后，彈出系統組策略編輯界面，在該編輯界面的左側列表中，將鼠標定位到“本地計算機策略”→“計算機配置”→“管理模板”→“Windows組件”→“Windows Defender應用程序防護”節點上，找到該節點下面的“配置Windows Defender應用程序防護剪貼板設置”選項，用鼠標雙擊該組策略選項，打開對應選項的“設置”對話框。

其次，在這里大家可以按需配置，比如說想從虛擬沙盤中拷貝特定的文本內容時，只要將“剪貼板的行為設置”調整為“應用從隔離會話到主機的剪貼板操作”，內容選項調整為“1”，確認后保存設置操作。

如此一來，當用戶在虛擬沙盤環境中查看到非法代碼內容時，就能夠通過復制粘貼的方式，將代碼內容復制粘貼到當前主機系統。其他類似共享、打印、存儲虛擬沙盤下載的數據等操作，也能在相關功能配置中進行合適的配置。