Windows 10 Sandbox ? Kullanım Senaryoları ?

Artan siber saldırılar nedeniyle kurumlar kendilerini hem bilinen hem bilinmeyen tehditlere karşı koruyacak yeni nesil güvenlik teknolojilerine gereksinim duymaktadırlar. Sandbox çözümünün yeni nesil bir güvenlik mekanizması olarak sunduğu avantaj geleneksel güvenlik sistemlerinin tespit etmekte başarısız kaldığı tehditleri analiz edecek, anlayacak ve aksiyon alacak bir güvenlik sistemi olarak hizmet sunmasıdır. Tespiti zor olan, geleneksel saldırı engelleme sistemlerini atlatabilen ve Sıfırıncı gün(Zeroday) zafiyetlerini istismar eden gelişmiş atakları saptamakta etkili olan Sandbox çözümü Gelişmiş Tehdit Koruması sistemlerinin de önemli bir bileşeni haline gelmiştir.

Türkçede Kum havuzu olarak adlandırılan Sandbox sıkı kontrol ve izin mekanizmaları uygulanarak ayrık ve kısıtlı olarak dizayn edilmiş, programın üzerinde çalıştığı sisteme herhangi bir hasar vermeden veya zararlı yazılım bulaştırmadan denenebildiği ortamdır.

Sandbox içerisinde bir program çalıştırıldığında normal bir sistem üzerinde çalışıyormuş gibi işlevleri yerine getirir; ancak uygulamanın oluşturmak veya değiştirmek istediği herhangi bir şey program çalışmayı durdurduğunda kaybedilmektedir, yani saklanmamaktadır. Sandbox sistemler aynı zamanda program kodunun çalışma mekanizmasını inceleyerek belirli zararlı yazılım tehditlerini analiz etmek ve öğrenmek için de kullanılmaktadır.

Resim-1

Saldırı önleme sistemimiz (IPS), antivirüsüm, antispam çözümüm, WEB Filtreleme, içerik filtreleme çözümlerim, en iyisinden güvenlik duvarı cihazım ve saymakla bitiremediğim önlemler, kurallar var ama yine de içeri sızmışlar mı mümkün mü, nasıl olur?

Windows 10 v1903 ile gelen en dikkat çekici özelliğin Sandbox olduğunu düşünüyorum.

Windows 10 Insider Preview Build 18305 (19H1) sürümüyle hayatımıza girmeye başlayan ve güvenlik seviyesini yükselten sanal masaüstü çözümü, Container konsepti ile çalışan bu sistem tanınmamış ya da güvenilmeyen programları test ya da kontrollerini güvenle gerçekleştirmemize olanak sağlıyor. Bu özellik 2018 yılının başında InPrivate Desktop olarak adlanrılmıştı.

Gunluk işlerin yürütülmesinde gerekli olabilecek yazılım uygulamalarının çoğunu kullanmaktayız.  İnternetin kötü niyetli dünyasında karşılaştığımız uygulamaları indirmek güvenli olmayabilir. Virüsler, kötü amaçlı yazılımlar ve diğer güvenlik açıkları sistemimize bulaşabilir.

İnternet dünyasında gezinirken karşılayabileceğimiz birçok oltalama yöntemleri bulunmaktadır. Son kullanıcı veya şirket çalışanı olarak bir uygulamayı indirirken başımıza neler gelebilecek bunları öngeremez ve bazı sorunlarla karşı karşıya kalabiliriz. Bu uygulamaların indirmeden önce sayfanın doğruluğunu uygulamanın geliştirici tarafından yayınlandığından emin olmak gerekir. Bu kritik süreçte indireceğimiz uygulamaları öncelikle sandbox tarzı izole bir ortamda test edip sonrasında uygulamayı kurarak güvenliğimizi artırabiliriz

Aslında Windows 10 üzerinde hyper-v rolünü aktifleştirip bir Windows 10 kurmaktan farksız gibi görünsede işin asıl espirisi bunun son derece kullanışlı olmasıdır. Çünkü işiniz bittiğinde sandbox uygulamasını kapattığınızda gerçekleştirdiğiniz tüm işlemler ve edindiğimiz veriler Windows Sandbox’u sonlandırdığımızda var olmamış gibi silinecektir. Bu sayede gereksiz bir sistem kaynağı kullanılmamış olacaktır. Böylece Windows Sandbox her yeni aktif ettiğimiz senaryoda bize temiz kurulum bir Windows sunacaktır.

Resim-2

Antivirüsler ve zararlı yazılımları önlemek için kullanılan araçlar, sistemin tüm bölümlerini taramak için üst düzey ayrıcalıklara sahip olduklarından bu durum saldırganlar için bir avantaj demek oluyordu. Daha önce Microsoft güvenlik araştırmacıları, saldırıların Windows Defender’daki güvenlik açıklarından faydalanarak sistemin kontrolünü ele geçirebileceklerini tespit etmişlerdi. Bunun üzerine Windows 10′ da güvenliği üst seviyede tutmak adına sıkı çalışmalar yürütüldü.

2018 yılının başında InPrivate Desktop olarak hayatımıza girmiş oldu.

Resim-3

Kişisel kullanıcı, ticari ve program geliştiriciler için biçilmiş kaftan.

Size atılan bir mailin ekini açmakta tereddüt ettiğiniz zaman olmadı mı?

İnternette tam işimize yarayacak bir uygulama bulduk, indirdik ve çalıştıracağız. Fakat uygulama yayıncısını ne duyduk ne gördük. Risk almaktan başka çaremiz yok.Bu gibi durumlarda hemen, varsa Antivirüsü güncellemeye yoksa edinmeye çalışırız. Hatta bazı zararlılar için ekstra (ransomeware vb.) farklı araçları temin etmeye çalışırız. Bu aşamalar hangi kullanıcı seviyesinde olursa olsun bizim için çok değerli olan zamanımızı alacak. Tabi negatif bir durumda bu zamanın daha da artacağı aşikar.

Bir uygulama geliştirdiğiniz de bu uygulamayi test etmek için sanal makinalara ihtiyaç duyabilirsiniz. Sanal makina kurmak için saatler haryacaginiz vakit ile saniyede sandboxu aktif edebilir hizlica test işlemlerine başlayabilirsiniz

Sandbox bilgisayarınızda izole edilmiş, güvenli sanal bir ortamda uygulamaları çalıştırmamızı, dosyaları indirmemize ve web sitelerini güvenli ziyaret etmemizi imkân sağlar.

Resim-4

Windows Sandbox kullanımı için, ek bir sanal disk (VHD) indirilmesine ya da oluşturulmasına gerek yoktur. Bunun yerine, Windows dinamik olarak makinenizdeki ana işletim sistemine bağlı olarak temiz işletim sistemi oluşturur. Ardından sistemde değişmeyen dosyalara bağlantı (link) verilir ve dinamik dosyalara gerektiğinde başvurulur.

Sandbox bu sayede sadece 100 MB alan kullanır. Sandbox çalışmadığı durumlarda ise 25 MB alanda sıkıştırılarak saklanır. İşletim sisteminin bir kopyası olduğu için de ayrı bir lisans anahtarına ihtiyacımız bulunmuyor.

Resim-5

Microsoft, Windows Sandbox temel olarak aynı ana bilgisayarın işletim sistemi imajını çalıştırdığından, Windows sanal alanının, “Direct Map” olarak adlandırdığı bir teknoloji aracılığıyla işletim sistemi ikili dosyalarının ana bilgisayarı ile aynı fiziksel bellek sayfalarını kullanmasına da izin veriyor. Başka bir deyişle, ntdll dosyasının aynı yürütülebilir sayfaları, sanal alandaki ana makineyle eşleştiriliyor.

Anlık Görüntü (Snapshot) ve Klon; Windows Sandbox, Microsoft’un hipervizör hizmetini kullanmaktadır. Windows kopyası hazırlamamız zamanımızı alabilmekte. Bu nedenle, Windows Sandbox’ı her başlattığımızda sandbox işletim sistemini ön yükleme beklemek yerine Sendbox özelliği işimizi kolaylaştırmakta

Resim-6

Donanımla hızlandırılmış işleme yapısı (Hardware accelerated rendering), özellikle yoğun grafikli veya medya ağırlıklı kullanım durumlarında sorunsuz çalışmaktadır.

Hyper-V Sanal makinede çalışan uygulamalar normal olarak Grafik API’leri kullanır.

Sanallaştırmayı desteklemek için düzenlenmiş olan sanal makinedeki grafik bileşenleri, sanal iş yükünü yürütmek için ana makine ile sanal makine sınırını koordine eder.

Guest sanal ortamda bulunan kaynakları, doğal olarak çalışan uygulamaları ve sanal makinede çalışan uygulamaları ayırır ve planlar. Kavramsal olarak grafik istemcilerinin bir havuzu gibi davranırlar.

Resim-7

• BIOS’ta etkin sanallaştırma yetenekleri
  
• En az 4GB RAM (8GB önerilir)
  
• En az 1 GB boş disk alanı (SSD önerilir)
  
• En az 2 CPU çekirdeği (4 çekirdek önerilir)
  

Öncelikle Windows 10 1903 sürümü ve BIOS üzerinde “Virtualization Technology” özelliğinin açık olması gereklidir.

Not: Eğer bunu bir sanal makinede etkinleştirmek istiyorsanız önce aşağıdaki PS komutunu çalıştırmanız gereklidir;

Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $ true

Resim-8

Öncelikle, sisteminizin BIOS’unda sanallaştırmanın etkinleştirildiğinden emin olmanız gerekir. Genelde varsayılan olarak açık olarak gelmektedir. Kontrol etmeniz için Görev Yöneticisini “Performans” sekmesine giderek. “CPU” kategorisinin, “Sanallaştırma: Etkin” (Virtualization: Enable)olduğunu kontrol edebilirsiniz.

Resim-9

Sanallaştırmanın etkinleştirildiğinden emin olduktan sonra, Windows Sandbox özelliğini açmak çok kolay bunu yapmak için, Denetim Masası> Programlar> Windows Özelliklerini Aç veya Kapat seçeneğine gidin. Windows Özellikleri penceresinde “Windows Sandbox” onay kutusunu işaretleyin.

Resim-10

Windows yeniden başlatıldıktan sonra, Başlat menüsünde Windows Sandbox’ı Arama çubuğuna “Windows Sandbox” yazın ya da menüde Sandbox simgesi aracılığı ile erişebilirsiniz.

Resim-11

Sandbox uygulamanız açıldığı zaman yeni bir Windows 10 masaüstü görünümü ile karışılacaksınız. Eğer sanal makine kullanmaya aşina iseniz rahatlıkla sandbox yönetebilirsiniz.

Test ve Analiz etmek istediğiniz ürünleri kopyala yapıştır mantığı ile sandbox içerisine taşıyabilirsiniz.

Resim-12

Dikkat etmeniz gereken önemli bir nokta: İşiniz bittiği zaman programı kapatırken yukarıdaki gibi bir uyarı alacaksınız ve Sandbox’ta bir dosyayı silerseniz, geri dönüşüm kutusuna gitmez. Bunun yerine, kalıcı olarak silinir. Öğeleri sildiğinizde aynı uyarıyı alacaksınız.