Fastweb

Windows Sandbox, come funziona e a cosa serve

Microsoft Edge per mobile contro le fake news Web & Digital #fake news #microsoft NewsGuard, lo strumento di Microsoft Edge contro le fake news Il browser di Microsoft per mobile include ora un rilevatore di notizie false
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Windows Sandbox, come funziona e a cosa serve FASTWEB S.p.A.
microsoft sandbox
Web & Digital
Una nuova funzionalità di windows per eseguire qualsiasi app potenzialmente dannosa sul sistema operativo, senza danneggiarlo

Alcuni mesi fa, Microsoft ha rivelato una funzionalità di Windows 10 che all'epoca era chiamata InPrivate Desktop: una macchina virtuale leggera per l'esecuzione di applicazioni non sicure in un ambiente isolato. Quella caratteristica è stata ora ufficialmente annunciata con un nuovo nome, Windows Sandbox.

Windows 10 utilizza già macchine virtuali per aumentare l'isolamento tra alcuni componenti e proteggere il sistema operativo. Queste macchine virtuali sono state utilizzate in diversi modi. Dalla sua versione iniziale, ad esempio, i sistemi opportunamente configurati hanno utilizzato una piccola macchina virtuale che girava accanto al sistema operativo principale per ospitare parti di LSASS. LSASS è un sottosistema fondamentale di Windows che, tra le altre cose, conosce vari segreti, come gli hash delle password, le chiavi di crittografia e i ticket Kerberos. Qui, la virtual machine viene utilizzata per proteggere LSASS dagli strumenti di hacking in modo tale che anche se il sistema operativo di base viene compromesso, questi segreti critici potrebbero essere mantenuti al sicuro.

Nella direzione opposta, Microsoft ha aggiunto la possibilità di eseguire le schede Edge all'interno di una macchina virtuale per ridurre il rischio di compromissione durante la visita a un sito Web ostile. L'obiettivo qui è l'opposto della macchina virtuale LSASS: è progettato per impedire a qualsiasi cosa di sgradevole di uscire dalla macchina virtuale e contaminare il sistema operativo principale, piuttosto che impedire che un sistema operativo principale già contaminato irrompa nella macchina virtuale.

Windows Sandbox è simile alla macchina virtuale Edge ma progettato per applicazioni arbitrarie. L'esecuzione del software in una macchina virtuale e l'integrazione di tale software nel sistema operativo principale non sono nuovi: VMware lo ha fatto su Windows per vent'anni, ma Sandbox di Windows utilizza una serie di tecniche per ridurre il sovraccarico della macchina virtuale e allo stesso tempo massimizzare le prestazioni del software in esecuzione all'interno della VM, senza compromettere l'isolamento che offre.

Le macchine virtuali tradizionali dispongono di una propria installazione del sistema operativo memorizzata su un'immagine del disco virtuale e tale sistema operativo deve essere aggiornato e gestito separatamente dal sistema operativo host. L'immagine del disco utilizzata da Sandbox di Windows, al contrario, condivide la maggior parte dei suoi file con il sistema operativo host; contiene una piccola quantità di dati mutabili, il resto è riferimenti immutabili ai file OS host. Ciò significa che è sempre in esecuzione la stessa versione di Windows dell'host e che, man mano che l'host viene aggiornato e patchato, anche il sistema operativo Sandbox ottiene lo stesso trattamento.

La condivisione è usata anche per la memoria; gli eseguibili e le librerie del sistema operativo caricati all'interno della VM utilizzano la stessa memoria fisica degli stessi eseguibili e librerie caricati nel sistema operativo host.

Le macchine virtuali standard che eseguono un sistema operativo completo includono il proprio pianificatore di processi che ritaglia il tempo del processore tra tutti i thread e i processi in esecuzione. Per macchine virtuali regolari, questo programma di pianificazione è abbastanza oscuro; l'host sa solo che il SO guest è in esecuzione e non ha informazioni su processori e thread all'interno di quell'ospite. La macchina virtuale Sandbox è diversa; i suoi processi e thread sono direttamente esposti allo scheduler del SO host e sono programmati come qualsiasi altro thread sulla macchina. Ciò significa che se la Sandbox ha un thread con priorità bassa, può essere spostato da un thread con priorità più alta dall'host. Il risultato è che l'host è generalmente più reattivo e la Sandbox si comporta come un'applicazione normale, non una macchina virtuale black-box.

Inoltre, le schede video con driver WDDM 2.5 possono offrire grafica con accelerazione hardware al software in esecuzione all'interno della sandbox. Con i driver più vecchi, la sandbox funzionerà con il tipo di grafica emulata dal software tipica delle macchine virtuali.

Nel suo insieme, Windows Sandbox combina elementi di macchine virtuali e contenitori. Il limite di sicurezza tra la sandbox e il sistema operativo host è un limite imposto dall'hardware, come nel caso delle macchine virtuali, e la sandbox ha un hardware virtualizzato simile a una VM. Allo stesso tempo, altri aspetti, come la condivisione di file eseguibili sia su disco che in memoria con l'host, nonché l'esecuzione di una versione identica del sistema operativo come tecnologia host-use da Windows Containers.

Almeno per ora, la Sandbox sembra essere interamente effimera. Viene distrutta e ripristinata ogni volta che viene chiusa, quindi nessuna modifica può persistere tra le esecuzioni. Le macchine virtuali Edge lavorarono allo stesso modo nella loro prima incarnazione; nelle versioni successive, Microsoft ha aggiunto il supporto per il trasferimento dei file dalla macchina virtuale all'host in modo che possano essere archiviati in modo permanente. Ci potremo aspettare un simile tipo di evoluzione anche per Sandbox.

Sandbox di Windows sarà disponibile nelle build di Insider di Windows 10 Pro e Enterprise a partire dalla build 18305.

20 dicembre 2018

Fonte: arstechnica.com

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #microsoft #sandbox #macchine virtuali

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.