日常使用 Windows 的过程中难免需要安装一些国产流氓软件(说的就是你腾讯)或者不常用的破解/来源不可信的软件.
或者要安装一些不常使用的软件, 但总会卸载不干净, 残留部分文件或注册表项在电脑中, 让洁癖和强迫症很不爽.
与现代的手机操作系统不同, PC 操作系统相对更加开放自由, 但同时也没有沙盒隔离机制, 导致软件权限不可控. 例如恶意软件能轻松地读取浏览器 Cookie 并上传从而盗取账号, 获取管理员权限的恶意软件可以篡改系统文件, etc.
尝试过的解决方案
- 使用火绒的自定义防护规则保护关键数据: 火绒会一直弹出提示框, 在过程中导致程序卡死, 体验不佳. 同时我更倾向于使用 Microsoft Defender 而不是火绒.
- 使用卡巴斯基查杀病毒: 只能杀病毒但不能杀国产流氓, 还是不能阻止电脑被装的乱七八糟&信息被盗取. 安装卡巴斯基后性能感觉有所下降.
- Windows 自带的 Windows Sandbox: 就是一台虚拟机, 比较占用系统资源, 而且关闭后资料不能保留. 更适合用来测试一些一次性使用的软件或已知的病毒.
所以现在我重装了系统, 只在主机中装干净可信的软件, 其余不得不用的软件扔进沙盒, 默认使用 Microsoft Defender 防病毒.
Sandboxie 介绍
Sandboxie runs your programs in an isolated space which prevents them from making permanent changes to other programs and data in your computer.
The red arrows indicate changes flowing from a running program into your computer. The box labeled Hard disk (no sandbox) shows changes by a program running normally. The box labeled Hard disk (with sandbox) shows changes by a program running under Sandboxie. The animation illustrates that Sandboxie is able to intercept the changes and isolate them within a sandbox, depicted as a yellow rectangle. It also illustrates that grouping the changes together makes it easy to delete all of them at once.
以上文字来自 Sandboxie 官网, Sandboxie 通过 API Hook 修改并限制(重定向)程序对系统文件, 注册表等的修改, 并撤销程序管理员权限限制程序行为.
Sandboxie 虽然是个开源软件, 但官网下载的版本需要获得 Certificate 才能解锁所有高级功能, 其实可以自行从源代码编译并强行加载没有微软签名的驱动来免费使用. 但用它进行安全和隐私的隔离只需要免费版本功能就能完成(可以手动配置规则以达到数据保护的效果, 而不一定要使用提供的数据保护型沙盒).
配置
先从官网下载并安装 Sandboxie-Plus, 然后打开软件, 菜单中选择新建沙盒, 创建一个安全防护加固型沙盒.
随后进入沙盒的详细设置.
为了防止程序沙盒逃逸, 建议开启
撤销管理员和 Power Users 用户组的权限
.如果程序不需要联网, 建议直接在联网限制中阻止所有程序访问互联网.
文件隐私保护: 如下图, 将存储个人资料的文件夹设置为
仅沙盒内(只写)
.我的电脑只有 C 盘, 且我的所有文件都放在 Documents 中, 如果你还有其他位置存放了个人文件, 也需要设置为只写.
开启该设置后, 程序对保存个人资料的文件只能读取到其自身写入的文件.
之后将程序的安装程序导入到沙盒中进行安装即可.(或者使用右键菜单中的在沙盒中运行.)
当然在沙盒中运行程序可能遇到兼容性问题, 需要自行排错. 例如在沙盒中安装 QQ 需要使用这里的步骤.
总结
有了 Sandboxie 可以在沙盒中安装/运行程序, 保持电脑文件整洁, 保护个人隐私文件, 降低安全风险. 上面我提到了最关键主要的隔离和保护的相关设置, 其实免费版的 Sandboxie 功能已经十分强大, 又给了我另一个使用 Windows 的理由, Sandboxie 还有更多高级功能欢迎自行探索~
本文采用 CC BY-NC-SA 4.0 许可协议发布.
作者: lyc8503, 文章链接: https://blog.lyc8503.net/post/windows-sandboxie/
如果本文给你带来了帮助或让你觉得有趣, 可以考虑赞助我¬_¬