Tham dự Tech Lounge

Tham dự Tech Lounge


Windows 10 được tích hợp sẵn máy ảo Sandbox để chạy các ứng dụng xấu, nó hoạt động như thế nào?

ND Minh Đức
20/12/2018 8:19Phản hồi: 52
Windows 10 được tích hợp sẵn máy ảo Sandbox để chạy các ứng dụng xấu, nó hoạt động như thế nào?
Vài tháng trước Microsoft đã bắt đầu tiết lộ một tính năng mới trên Windows 10 tên là InPrivate, cho phép tạo một máy ảo cấu hình thấp ngay trong hệ điều hành chính để chạy thử các ứng dụng không đáng tin cậy trong một môi trường hoàn toàn cách biệt. Bây giờ tính năng đó đã chính thức được phát hành ở bản cập nhật tiếp theo và được đổi tên thành Windows Sanbox với hàng loạt những công nghệ mới để máy ảo trở nên “thật hơn”, khai thác được phần cứng hiệu quả hơn và tất nhiên là bảo mật hơn.

Máy ảo hoạt động như thế nào?


Trên thực tế, Windows 10 đã sử dụng những máy ảo để tách biệt giữa các thành phần nhất định và đảm bảo sự ổn định của hệ điều hành chính. Các máy ảo này tùy theo tính chất nhiệm vụ mà sẽ được triển khai theo những cách khác nhau, thí dụ như các máy ảo chạy độc lập với OS để chứa các thành phần LSASS - nôm na là một hệ thống phụ nhưng cực kỳ quan trọng của Windows để xử lý mật khẩu băm, các khóa mã hóa và ticket Kerberos. Trong tình huống này, máy ảo sẽ giữ cho khu vực LSASS đợc an toàn, chống lại được các công cụ hack ngay cả khi hệ điều hành chính bị tấn công thì các dữ liệu tuyệt mật này vẫn được đảm bảo không xâm phạm.

Trong một cách triển khai khác, Microsoft cũng cho phép mở một số tabs của trình duyệt Edge trong một máy ảo con khi vào những trang web không đáng tin, từ đó tối thiểu hóa những rủi ro khi duyệt web. Tất nhiên, cách hoạt động của máy ảo cho Edge cũng khác với máy ảo chứa LSASS. Nó được thiết kế để ngăn chặn mọi tác nhân xấu trong máy ảo thoát ra bên ngoài để gây hại cho OS chính chứ không phải ngăn những thứ xấu đã nằm trong OS chui vào máy ảo.

Và cách hoạt động của Windows Sandbox cũng tương tự như máy ảo dành cho Edge. Tuy nhiên thay vì chỉ để chạy các tab trình duyệt thì Sanbox được thiết kế để chạy các ứng dụng đáng ngờ. Tất nhiên, việc chạy một ứng dụng trong máy ảo và sau đó tích hợp nó vào trong hệ điều hành chính không phải là điều mới mẻ, nhiều ứng dụng đã làm được điều đó trong Windows cả chục năm trước. Nhưng Windows Sanbox vẫn có thêm một số kỹ thuật mới để một mặt làm giảm mức độ ăn phần cứng của máy ảo, đồng thời tối đa hóa hiệu suất của phần mềm chạy trong máy ảo mà vẫn đảm bảo mục tiêu cốt lõi tính cô lập để ngăn chặn tác nhân xấu.


Máy ảo Windows Sandbox có gì khác?

dynamic-disk-image-1280x382.png

Thường thì các máy ảo trước đây sẽ có một hệ điều hành độc lập được cài sẵn và lưu trên một ổ đĩa ảo. Hệ điều hành này cần phải được cập nhật và bảo trì một cách độc lập với hệ điều hành chính. Windows Sanbox cũng sẽ cùng một ổ đĩa ảo nhưng điểm khác là nó sẽ xài chung nhiều tập tin hệ thống của hệ điều hành chủ để hoạt động. OS trên Sanbox chỉ chứa một lượng nhỏ dữ liệu có thể thay đổi, còn phần còn lại sẽ liên tục tham chiếu và tuân theo những thành phần bất biến của OS chủ là Windows mà chúng ta dùng. Nói cách khác, nỏ sẽ luôn chạy cùng một phiên bản Windows với Windows chính, khi Windows chính có cập nhật hay vá lỗi thì OS trong Sanbox cũng sẽ được vá lỗi, cập nhật. Tương tự như cách làm này, bộ nhớ cũng sẽ được dùng chung giữa OS của Sanbox và OS chính. Các thư viện và lệnh thực thi chạy trong OS của máy ảo sẽ dùng chung bộ nhớ vật lý với các thư viện và lệnh thực thi chạy trong hệ điều hành gốc.

direct-mapped-virtual-memory-1280x334.png

Thêm một điểm khác của Sanbox. Các máy ảo thông thường chạy một OS hoàn chỉnh, bao gồm cả scheduler nhằm giảm thiểu thời gian xử lý giữa toàn bộ các luồng và nhân đang chạy. Trên các máy ảo này thông thường, scheduler thường không rõ ràng, hệ điều hành chủ chỉ biết rằng đang có một OS khác đang chạy trong nó, tuy nhiên không biết được chính xác OS lạ này đang khai thác những nhân xử lý và luồng tác vụ nào. Đối với Windows Sanbox, tất cả những nhân và những luồng xử lý đều được khai báo một cách rõ ràng với scheduler của OS chủ và sẽ được điều phối chạy các tác vụ giống như một tác vụ ngoài OS chủ. Từ đó, nếu các luồng chạy trong Sandbox có mức độ ưu tiên thấp thì các luồng có mức độ ưu tiên cao hơn chạy bên ngoài OS chủ sẽ được cho chạy, kết quả là máy chủ vẫn đảm bảo tốc độ chạy nhanh hơn, lúc này máy ảo Sanbox sẽ được đối xử như một ứng dụng bình thường của OS chủ.

Về mặt đồ họa, những card nào có driver WDDM 2.5 sẽ có khả năng cung cấp khả năng xử lý những phần đồ họa của các phần mềm chạy trong Sandbox. Đối với các card có driver cũ hơn, Sanbox sẽ chạy những phần mềm giả lập đồ họa giống như những máy ảo thông thường khác.

Tựu chung lại, Windows Sandbox sẽ tạo ra một hệ thống kết hợp giữa những yếu tố của máy ảo và một hộp chứa. Ranh giới về bảo mật giữa sandbox và OS chủ sẽ được đảm nhiệm bởi phần cứng. Nói cách khác, một máy ảo chạy trong Sandbox sẽ có phần cứng mà nó chạy giống như một máy thật hơn. Đồng thời, các tập tin dùng chung trên ổ cứng lẫn trên bộ nhớ tạm của máy ảo sẽ chạy trong môi trường OS với phiên bản giống như máy thật.

Một vấn đề cần lưu ý là ở hiện tại, máy ảo Sandbox chỉ chạy một lần và mọi thiết lập sẽ bị xóa sau mỗi lần chạy, không lưu lại giống như là máy ảo chạy các tab Egde. Microsoft sau đó đã cập nhật thêm tính năng chuyển tập tin từ máy ảo sang máy chính để lưu trữ một cách liên tục giữa các phiên làm việc. Hy vọng rằng điều tương tự cũng sẽ được cập nhật cho các máy ảo Sandbox. Cuối cùng, Windows Sandbox sẽ được phát hành sẵn trong phiên bản Insider của Windows 10 Pro và Enterprise từ bản 18305. Cùng chờ và trải nghiệm nha anh em.

Quảng cáo



Dưới đây là phần cứng cần có để sử dụng chức năng Windows Sandbox trên máy chạy Windows 10:
  • Windows 10 Pro hoặc Enterprise build 18305 hoặc mới hơn
  • Kiến trúc AMD64
  • BIOS có khả năng kích hoạt ảo hóa
  • Tối thiểu 4GB RAM (đề nghị 8GB)
  • Tối thiểu 1GB trống trong ổ cứng (đề nghị SSD)
  • Tối thiểu 2 nhân CPU (đề nghị 4 nhân hỗ trợ siêu phân luồng)
Tham khảo AT, BGR
52 bình luận
Chia sẻ

Xu hướng

Tóm lại là giờ thì bố đếch tin bố con thằng nào nữa . Tự cứu mình trước khi trời cứu . Mấy anh em hay ngâm cứ văn hoá Nhật + với mấy Game hay xài tool hack thì nên xài . Ko lại chửi tại Win , tại Microsoft . Sơ bộ nó là như vậy . :p
@hieuvn12 Tưởng virut nó lan ra cả ổ cứng chứ đâu phải mỗi phân vùng cài windows, xóa win đi thì cũng tác dụng gì đâu
Long Sao
ĐẠI BÀNG
5 năm
@minhthuvc Bác này nói nghe hay nha. Em đồng ý bác luôn.
@hieuvn12 Khổ thế
msnori
TÍCH CỰC
5 năm
@minhthuvc Virus mà mạnh là nó lan luôn sang các ổ dữ liệu khác mà bạn. Tốt nhất nên chạy trên máy ảo.
Nhược điểm Windows sandbox trên chắc không cài được các app mà bắt khởi động lại. Và các ứng dụng OS chủ có được chia sẻ cho máy ảo sanbox như các chương trình diệt virus chạy sanbox không? Nếu được mấy thím cày game nhiều tài khoản đỡ phải cài app sanbox khác loằng ngoằng.
Tốt nhất tương lai các app giải trí, tin tức, liên lạc nhất là game lên Microsoft Store hết đi, đỡ down nhầm các app malware không chính chủ, cài đặt đơn giản, tự động câp nhật, chạy kiểu sandbox đấy an toàn hơn nhiều. iTunes còn lên được nữa là các app giải trí và game khác.
@Lumisur không dùng office 365 hay sao mà ko biết nó lên store từ tám đời rồi :|
@Lumisur uwp app là bản mobile, có từ 16 đời trước "cái link" 365
Thế gặp lỗi màn hình xanh thì chỉ xanh trong máy ảo hay là như nào 😆))
dat225
TÍCH CỰC
5 năm
@Yan20142297 Lỗi phần cứng thì xanh cả host chứ ai xanh virtual.
Thông tin thú vị về Win10.
Thanks mod chia sẻ.
Dạo này có nhiều thằng comment n.g.u gây war để lấy điểm quá nhỉ. Tinh tế nên đổi cách tính điểm đi kẻo diễn đàn ngập comment của mấy loại này.
Hay quá. Cũng giúp cho IT man nhiều. Người dùng thường thì khó quan tâm cái này.
d_chien90
TÍCH CỰC
5 năm
Giờ mình lại quay về với win7 rồi 😃
Mr.Xr
TÍCH CỰC
5 năm
hơi khó hiểu nhỉ. mình cứ táng vmware thôi. cái gì ghê ghê là táng vô hết đó 😁
@Mr.Xr Dùng Virtualbox cho tâm hồn thanh thản, cho Wins nó nhẹ. Nếu máy SSD với RAM nhiều một chút thì VBox vẫn cho hiệu năng mượt mà.
Mr.Xr
TÍCH CỰC
5 năm
@Darklord.Py ok lắm bác 😁
Mr.Xr
TÍCH CỰC
5 năm
@nnkjsc vẫn mượt với lại sài quen rồi bác ợ. nên ko muốn thay đổi 😁
@Darklord.Py Mình vẫn dùng VirtualBox đều, miễn phí và gọn gàng. Trên Mac dùng thêm Parallels bản miễn phí để học đòi vọc vạch android với linux 😁
Ngọt kèo window 😁
Chip intel không được à?
hoanganh322
ĐẠI BÀNG
5 năm
Giở windows 10 phải mua nhỉ, k có cách nào kiếm key như ngãy xưa nữa
@hoanganh322 Free lâu quá r mà :v
https://thewincentral.com/microsoft-pushes-windows-10-build-1830519h1-to-insiders-in-the-fast-ring-introduces-sandbox-simplified-start-layout-and-much-more/
Hiện tại Sandbox mới ra mắt trên Insider thôi nhé ae, thông tin chi tiết vào đây đọc tạm vậy
chỉ dùng cho chip AMD thôi nha, Intel bít cửa
urvinh
ĐẠI BÀNG
5 năm
@vn_ninja Ai nói vậy. Mới test hôm qua trên bản Insider. Chip Intel bình thường
@urvinh Đây:
Dưới đây là phần cứng cần có để sử dụng chức năng Windows Sandbox trên máy chạy Windows 10:
Windows 10 Pro hoặc Enterprise build 18305 hoặc mới hơn
Kiến trúc AMD64
BIOS có khả năng kích hoạt ảo hóa
Tối thiểu 4GB RAM (đề nghị 8GB)
Tối thiểu 1GB trống trong ổ cứng (đề nghị SSD)
Tối thiểu 2 nhân CPU (đề nghị 4 nhân hỗ trợ siêu phân luồng)
urvinh
ĐẠI BÀNG
5 năm
@vn_ninja Vậy cái này là cái gì đây hả bạn?
Bạn nên biết, kiến trúc AMD64 ở đây là đang nói tới x86-64 (64 bit), không phải là nói riêng chip AMD ha: https://en.wikipedia.org/wiki/X86-64
ws.png
Giờ xài Win 10 / O365 / Antivirus và các phần mềm cơ bản đều có license nên giờ yên tâm hơn hẳn.
masterss0
TÍCH CỰC
5 năm
Bản mới nhất đang la 177xx, tận 18305 mới có thì cũng suýt đến mùa quýt năm sau nhỉ 😁
Sa Tế
ĐẠI BÀNG
5 năm
chạy song song 2 win 10 (SSD) và win 7 (HDD) , cảm giác win 7 xài ram ít hơn win 10 và hộ trợ nhiều ứng dụng cũ hơn , nhưng còn về độ mượt thì win 10 hơn ở 1 số ứng dụng cache file temp trên SSD , do đó về phần win 10 chắc sẽ tốt cho công việc hơn ,còn win 7 thì dành cho game ,đặc biệt là mấy trò game giả lập androi trên máy tính cần nhìu ram cố định . Dự là win 10 pro ver1803 sẽ là ver ổn định ,an toàn nhất trong thời gian sắp tới , lên bảng Windows 10 18305 này chắc hàng loạt máy ảo ,giả lập xung đột nhau wá hihi

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019