Hardware Upgrade Forum - View Single Post

Romagnolo1973 · 30-03-2010, 19:59

SANDBOX

Eccoci alla novità più visibile di questa nuova versione di CIS, la sua SANDBOX . Si tratta di un recinto, un ambiente virtuale dove poter far “giocare” un applicazione per studiarne le azioni senza che possa intaccare il sistema operativo (File System e Registro). Questa virtualizzazione può essere fatta con programmi appositi quali ad esempio Sandboxie o Returnil ed ora anche tramite la SB di CIS che ha però una funzionalità unica, infatti alla virtualizzazione del file system e del registro affianca privilegi ridotti per l'applicazione recintata. Il programma così sandboxato andrà a leggere e scrivere su un registro o su cartelle che sono in realtà virtuali, replica di quelle reali senza in alcun modo poter intaccare il nostro sistema.
Il file system virtuale si trova nella cartella nascosta C:\VirtualRoot\”nome applicazione sandboxata” mentre il registro virtuale è in HKEY_LOCAL_MACHINE\SYSTEM\VirtualRoot\

Vediamo ora come di consueto l'avviso dell'applicazione per poterlo interpretare:

A: chi origina l'allerta è Comodo Sandbox, l'avviso è facilmente distinguibile da quelli del FW e del D+ poiché non ha la cornice in alto gialla o rossa ed ha il simbolo della SB.
B: il nome dell'applicazione che ha generato l'avviso, in questo caso è un driver della mia scheda audio, cliccando sul nome dell'applicazione in azzurro si va alla posizione dell'applicazione stessa, il tutto per aiutarci nella decisione.
C: Comodo ci informa di aver preventivamente già isolato l'applicazione.
D: Ora sta a noi scegliere se lasciare l'applicazione nel recinto oppure farla eseguire fuori da quell'area.
E: nel caso facessimo uscire dal recinto il file e quindi lo eseguissimo in ambiente reale, ci viene ulteriormente chiesto se vogliamo o meno fidarci del produttore di quel file.

Quando CIS fa scattare questo avviso?
Quando chi ha firmato l'applicazione non si trova nella lista dei “Produttori Software Fidati”;
L'applicazione non è stata inserita dall'utente tra i “File Sicuri”
L'utente non acconsente a dare al file privilegi elevati (era l'avviso visto per il D+)
In tutti questi casi l'eseguibile viene cautelativamente messo nell'area protetta e quindi CIS ci avvisa di ciò chiedendoci come comportarsi.

Se il file si trova nella sandbox perchè, come visto sopra, risulta sconosciuto a CIS allora di default viene inviato in automatico a Comodo per l'analisi, una volta rilevato dai tecnici come applicazione sicura verrà immessa nella lista interna di CIS come “safe” e a quel punto viene rimossa dalla Sandbox senza il nostro intervento. Questa lista di prodotti sicuri si aggiorna ad ogni nuova release.

Se al pop-up diamo istruzioni a CIS di eseguire quell'applicazione fuori dalla sandbox allora immediatamente Comodo la inserisce in "File Sicuri" del Defense+. Infatti come potete vedere nel'immagine sotto quel drive SoundMax oggetto dell'avviso riportato all'inizio del post ed altri programmi che CIS non riconosce e a cui ho detto di eseguirsi fuori dal recinto si trovano tutti lì indicati.

Se decidiamo di lasciare quel programma sandboxato allora di default CIS gli darà modo di eseguirsi con il livello di restrizione “Limitato”.

I livelli di restrizione sono 4:

NON SICURO: l'applicazione sandboxata non può in alcun modo accedere a risorse del sistema (RAM, CPU), non può eseguire più di 10 processi alla volta, ha diritti di accesso super limitati. E' un livello così stringente in termini di permessi che molte applicazioni così limitate non funzionerebbero.
CIRCOSCRITTO: l'applicazione accede a poche risorse di sistema, per il resto è tutto analogo a quanto detto sopra.
LIMITATO: l'applicazione ha accesso solo ad alcune risorse di sistema, non può eseguire più i 10 processi alla volta, gira con privilegi di ACCOUNT LIMITATO.
Attenzione !!!
- se mettiamo noi a mano una applicazone in Sandbox tramite "Programmi nella Sandbox" o "Avvia un Programma nella Sandbox"allora, salvo esplicitamente non si vada a intervenire diversamente sulle opzioni, la virtualizzazione è attiva;
- se invece è Comodo autonomamente a metterlo nel recinto perchè non lo conosce, la virtualizzazione non è attiva e il file interagisce con il sistema reale, a parte le limitazioni a cui viene obbligato dal D+ e che vedrete tra qualche riga.
ILLIMITATO: non vi sono limitazioni di sorta, quindi l'applicazione può accedere ai file di sistema. A differenza di farla eseguire liberamente però questa applicazione soggiace alle limitazioni che noi impostiamo in “Programmi nella Sandbox”che vedremo tra poco.

Oltre ai livelli di restrizione che vengono dati alle applicazioni sandboxate, anche il D+ nei loro confronti si setta in modo da bloccare in automatico:

accessi in memoria nei confronti di applicazioni non recintate;
accessi ad Interfacce COM protette;
keylog e catture schermo;
hooks;
modificare chiavi di registro protette (se la virtualizzazione del registro è disattivata);
modificare file protetti già esistenti (se la virtualizzazione del file system è disattivata).

Eccoci alla descrizione delle funzioni presenti nella schermata principale:

Programmi nella Sandbox: cliccandoci avrete la lista dei programmi “recintati”. Possiamo aggiungervi programmi, modificarne le impostazioni, rimuoverli o anche pulire la lista da applicazioni non più presenti.

Cliccando su aggiungi o modifica avremo queste 2 schede su cui agire per modificare i settaggi dei vari livelli di restrizione:
- Opzioni Restrizione : per cambiare il livello di restrizione adottato per quell'applicativo.
- Opzioni Avanzate: dove dare valori per le risorse di sistema da consentire e per abilitare o meno sia la virtualizzazione del sistema che del registro. Si noti come proprio come detto sopra di default il livello “Limitato” non abbia alcuna restrizione di risorse.
  
  Pensateci bene prima di togliere la virtualizzazione visto che in questo caso l'applicativo andrà a interagire col vostro sistema reale!!!
Opzioni Sandbox: qui si può modificare il modo in cui va ad operare la SB

Nella prima scheda “Impostazioni Generali” si può abilitare o disabilitare la Sandbox oltre a fare in modo che di default siano attive o meno tutte queste altre caratteristiche:
- Virtualizzazione file system;
- Virtualizzazione registro di sistema;
- Avvio automatico dei programmi sconosciuti in SB;
- Riconoscimento delle installazioni ed aggiornamenti per eseguirli fuori dal recinto;
- Invia a Comodo i file sospesi/sconosciuti per l'analisi;
- Autorizza automaticamente le installazioni sicure;
Nella seconda scheda “Alert Setting” è possibile indicare se si vogliono avere o meno gli avvisi a video del D+, FW e AV.
Consiglio di lasciare tutto selezionato in entrambe le schede.

Attenzione: disabilitare qui la virtualizzazione del file system o del registro porta tutte le applicazioni sandboxate ad agire nel sistema “reale” anche se in “Programmi nella sandbox” si era indicata la virtualizzazione per quella applicazione. Qui di seguito la tabella che esplica la gerarchia tra comandi discordanti nelle due sezioni. Consiglio di lasciare qui la virtualizzazione attiva e poi di settarla diversamente sulle singole applicazione se volete, solo così infatti avrete certezza di non trovarvi brutte sorprese.
Avvia Programma nella Sandbox: si possono aggiungere manualmente nel recinto tutti i programmi che vogliamo per farli girare quella sola volta come recintati e dare loro il livello di restrizioni desiderato. Qualsiasi file .exe o setup può essere fatto girare sandoboxato anche più comodamente agendo sull'apposita voce presente nel menù tasto destro del mouse una volta cliccato sul file stesso, quel programma girerà solo quella volta come fosse isolato. Se volete che giri sempre sandoboxato dovete inserirlo in "Programmi nella Sandbox".

Disattivare la SandBox: è una funzionalità nuova, giovane e inevitabilmente potrebbe dare problemi in configurazioni particolari e quindi vediamo come disabilitarla in modo da avere un CIS 4 al 99% uguale alla versione precedente.
Andate in Defense+ - Sandbox – Opzioni Sandbox e portate il livello su disabilitato e date OK o più semplicemente dall'icona di CIS nella tray fate tasto destro poi “Livello Sicurezza Sandbox” e cliccate su “Disabilitato”.
Per effettuare pienamente alcuni test come per esempio CTL occorre disativare la SB o non si passano completamente, infatti girerebbero sandboxati e darebbero risultati non corretti: per esempio avendo accesso a delle chiavi di registro il risultato sarebbe test fallito ma si tratta di chiavi virtuali non di quelle reali.

Clicca qui per Come Sandboxare i Browser by arnyreny

30-03-2010, 19:59	#4
Romagnolo1973 Senior Member Iscritto dal: Nov 2005 Città: Cervia (RA) Messaggi: 16843	SANDBOX Eccoci alla novità più visibile di questa nuova versione di CIS, la sua SANDBOX . Si tratta di un recinto, un ambiente virtuale dove poter far “giocare” un applicazione per studiarne le azioni senza che possa intaccare il sistema operativo (File System e Registro). Questa virtualizzazione può essere fatta con programmi appositi quali ad esempio Sandboxie o Returnil ed ora anche tramite la SB di CIS che ha però una funzionalità unica, infatti alla virtualizzazione del file system e del registro affianca privilegi ridotti per l'applicazione recintata. Il programma così sandboxato andrà a leggere e scrivere su un registro o su cartelle che sono in realtà virtuali, replica di quelle reali senza in alcun modo poter intaccare il nostro sistema. Il file system virtuale si trova nella cartella nascosta C:\VirtualRoot\”nome applicazione sandboxata” mentre il registro virtuale è in HKEY_LOCAL_MACHINE\SYSTEM\VirtualRoot\ Vediamo ora come di consueto l'avviso dell'applicazione per poterlo interpretare: A: chi origina l'allerta è Comodo Sandbox, l'avviso è facilmente distinguibile da quelli del FW e del D+ poiché non ha la cornice in alto gialla o rossa ed ha il simbolo della SB. B: il nome dell'applicazione che ha generato l'avviso, in questo caso è un driver della mia scheda audio, cliccando sul nome dell'applicazione in azzurro si va alla posizione dell'applicazione stessa, il tutto per aiutarci nella decisione. C: Comodo ci informa di aver preventivamente già isolato l'applicazione. D: Ora sta a noi scegliere se lasciare l'applicazione nel recinto oppure farla eseguire fuori da quell'area. E: nel caso facessimo uscire dal recinto il file e quindi lo eseguissimo in ambiente reale, ci viene ulteriormente chiesto se vogliamo o meno fidarci del produttore di quel file. Quando CIS fa scattare questo avviso? Quando chi ha firmato l'applicazione non si trova nella lista dei “Produttori Software Fidati”; L'applicazione non è stata inserita dall'utente tra i “File Sicuri” L'utente non acconsente a dare al file privilegi elevati (era l'avviso visto per il D+) In tutti questi casi l'eseguibile viene cautelativamente messo nell'area protetta e quindi CIS ci avvisa di ciò chiedendoci come comportarsi. Se il file si trova nella sandbox perchè, come visto sopra, risulta sconosciuto a CIS allora di default viene inviato in automatico a Comodo per l'analisi, una volta rilevato dai tecnici come applicazione sicura verrà immessa nella lista interna di CIS come “safe” e a quel punto viene rimossa dalla Sandbox senza il nostro intervento. Questa lista di prodotti sicuri si aggiorna ad ogni nuova release. Se al pop-up diamo istruzioni a CIS di eseguire quell'applicazione fuori dalla sandbox allora immediatamente Comodo la inserisce in "File Sicuri" del Defense+. Infatti come potete vedere nel'immagine sotto quel drive SoundMax oggetto dell'avviso riportato all'inizio del post ed altri programmi che CIS non riconosce e a cui ho detto di eseguirsi fuori dal recinto si trovano tutti lì indicati. Se decidiamo di lasciare quel programma sandboxato allora di default CIS gli darà modo di eseguirsi con il livello di restrizione “Limitato”. I livelli di restrizione sono 4: NON SICURO: l'applicazione sandboxata non può in alcun modo accedere a risorse del sistema (RAM, CPU), non può eseguire più di 10 processi alla volta, ha diritti di accesso super limitati. E' un livello così stringente in termini di permessi che molte applicazioni così limitate non funzionerebbero. CIRCOSCRITTO: l'applicazione accede a poche risorse di sistema, per il resto è tutto analogo a quanto detto sopra. LIMITATO: l'applicazione ha accesso solo ad alcune risorse di sistema, non può eseguire più i 10 processi alla volta, gira con privilegi di ACCOUNT LIMITATO. Attenzione !!! se mettiamo noi a mano una applicazone in Sandbox tramite "Programmi nella Sandbox" o "Avvia un Programma nella Sandbox"allora, salvo esplicitamente non si vada a intervenire diversamente sulle opzioni, la virtualizzazione è attiva; se invece è Comodo autonomamente a metterlo nel recinto perchè non lo conosce, la virtualizzazione non è attiva e il file interagisce con il sistema reale, a parte le limitazioni a cui viene obbligato dal D+ e che vedrete tra qualche riga. ILLIMITATO: non vi sono limitazioni di sorta, quindi l'applicazione può accedere ai file di sistema. A differenza di farla eseguire liberamente però questa applicazione soggiace alle limitazioni che noi impostiamo in “Programmi nella Sandbox”che vedremo tra poco. Oltre ai livelli di restrizione che vengono dati alle applicazioni sandboxate, anche il D+ nei loro confronti si setta in modo da bloccare in automatico: accessi in memoria nei confronti di applicazioni non recintate; accessi ad Interfacce COM protette; keylog e catture schermo; hooks; modificare chiavi di registro protette (se la virtualizzazione del registro è disattivata); modificare file protetti già esistenti (se la virtualizzazione del file system è disattivata). Eccoci alla descrizione delle funzioni presenti nella schermata principale: Programmi nella Sandbox: cliccandoci avrete la lista dei programmi “recintati”. Possiamo aggiungervi programmi, modificarne le impostazioni, rimuoverli o anche pulire la lista da applicazioni non più presenti. Cliccando su aggiungi o modifica avremo queste 2 schede su cui agire per modificare i settaggi dei vari livelli di restrizione: Opzioni Restrizione : per cambiare il livello di restrizione adottato per quell'applicativo. Opzioni Avanzate: dove dare valori per le risorse di sistema da consentire e per abilitare o meno sia la virtualizzazione del sistema che del registro. Si noti come proprio come detto sopra di default il livello “Limitato” non abbia alcuna restrizione di risorse. Pensateci bene prima di togliere la virtualizzazione visto che in questo caso l'applicativo andrà a interagire col vostro sistema reale!!! Opzioni Sandbox: qui si può modificare il modo in cui va ad operare la SB Nella prima scheda “Impostazioni Generali” si può abilitare o disabilitare la Sandbox oltre a fare in modo che di default siano attive o meno tutte queste altre caratteristiche: Virtualizzazione file system; Virtualizzazione registro di sistema; Avvio automatico dei programmi sconosciuti in SB; Riconoscimento delle installazioni ed aggiornamenti per eseguirli fuori dal recinto; Invia a Comodo i file sospesi/sconosciuti per l'analisi; Autorizza automaticamente le installazioni sicure; Nella seconda scheda “Alert Setting” è possibile indicare se si vogliono avere o meno gli avvisi a video del D+, FW e AV. Consiglio di lasciare tutto selezionato in entrambe le schede. Attenzione: disabilitare qui la virtualizzazione del file system o del registro porta tutte le applicazioni sandboxate ad agire nel sistema “reale” anche se in “Programmi nella sandbox” si era indicata la virtualizzazione per quella applicazione. Qui di seguito la tabella che esplica la gerarchia tra comandi discordanti nelle due sezioni. Consiglio di lasciare qui la virtualizzazione attiva e poi di settarla diversamente sulle singole applicazione se volete, solo così infatti avrete certezza di non trovarvi brutte sorprese. Avvia Programma nella Sandbox: si possono aggiungere manualmente nel recinto tutti i programmi che vogliamo per farli girare quella sola volta come recintati e dare loro il livello di restrizioni desiderato. Qualsiasi file .exe o setup può essere fatto girare sandoboxato anche più comodamente agendo sull'apposita voce presente nel menù tasto destro del mouse una volta cliccato sul file stesso, quel programma girerà solo quella volta come fosse isolato. Se volete che giri sempre sandoboxato dovete inserirlo in "Programmi nella Sandbox". Disattivare la SandBox: è una funzionalità nuova, giovane e inevitabilmente potrebbe dare problemi in configurazioni particolari e quindi vediamo come disabilitarla in modo da avere un CIS 4 al 99% uguale alla versione precedente. Andate in Defense+ - Sandbox – Opzioni Sandbox e portate il livello su disabilitato e date OK o più semplicemente dall'icona di CIS nella tray fate tasto destro poi “Livello Sicurezza Sandbox” e cliccate su “Disabilitato”. Per effettuare pienamente alcuni test come per esempio CTL occorre disativare la SB o non si passano completamente, infatti girerebbero sandboxati e darebbero risultati non corretti: per esempio avendo accesso a delle chiavi di registro il risultato sarebbe test fallito ma si tratta di chiavi virtuali non di quelle reali. Clicca qui per Come Sandboxare i Browser by arnyreny __________________ Smartphone entro i 250 € - Huawei MateBook D 14" AMD Ryzen - Huawei Mobile Services Ultima modifica di Romagnolo1973 : 05-06-2010 alle 11:38.