計算機
用於為一些來源不可信、具備破壞力或無法判定程式意圖的程式提供試驗環境。然而,沙盒中的所有改動對作業系統不會造成任何損失。通常這種技術被計算機技術人員廣泛使用,尤其是計算機反病毒行業,沙盒是一個觀察計算機病毒的重要環境。影子系統即是利用了這種技術的軟體之一。
有時沙盒也叫沙箱,英文sandbox。在計算機領域指一種虛擬技術,且多用於計算機安全技術。其原理是通過重定向技術,把程式生成和修改的檔案定向到自身資料夾中。當某個程式試圖發揮作用時,安全軟體可以先讓它在沙盒中運行,如果含有惡意行為,則禁止程式的進一步運行,而這不會對系統造成任何危害。
詳細介紹
概述
沙盒是在受限的安全環境中運行應用程式的一種做法,這種做法是要限制授予應用程式的代碼訪問許可權。例如,下載到 Internet Explorer 的控制項使用 Internet 許可權集運行。駐留在區域網路共享上的應用程式在計算機上使用 LocalIntranet 許可權集運行。(有關這些許可權的更多信息,請參見命名的許可權集。)
可以使用沙盒運行下載到計算機上的部分受信任的應用程式。也可以使用沙盒測試將分發的、將在部分受信任的環境(例如 Intranet)中運行的應用程式。有關代碼訪問安全性(CAS) 和沙盒的完整說明,請參見 Microsoft Developer Network (MSDN) 上的 Find Out What's New with Code Access Security in the .NET Framework 2.0(了解 .NET Framework 2.0 中代碼訪問安全性的新增功能)。
可以使用 CreateDomain(String, Evidence, String, String, Boolean, AppDomainInitializer, array[]()[])方法重載為沙盒中運行的應用程式指定許可權集。利用此重載可以指定向應用程式授予的許可權,從而獲得所需的確切代碼訪問安全性級別。它不利用標準 CAS 策略(不適用計算機策略)。例如,如果調用的程式集使用強名稱密鑰簽名,且該強名稱具有自定義代碼組,則將不套用該代碼組。使用此重載載入的程式集只能具有指定的授予集,否則必須具有完全信任。 如果程式集位於全局程式集快取或完全信任列表中,則會向其授予完全信任。但是,如果目標為完全信任的程式集,則將不使用沙盒。
企業以及所有網路用戶面對的問題是如何確保反惡意軟體能夠發現並緩解最新攻擊。對於所有沙盒安全技術而言,零日漏洞利用是最具挑戰性的威脅,因為它們完全為未知,也沒有補丁,讓網路和設備易受到攻擊。為了應對零日漏洞利用威脅,反惡意軟體供應商採用的方法之一是沙盒技術。
沙盒技術提供對資源的嚴格控制,沙盒通過限制對記憶體、系統檔案和設定的訪問,沙盒可以讓企業可通過執行潛在惡意代碼而發現其活動和意圖,而不會影響主機設備。沙盒技術對進入企業網路的代碼進行的這種分析意味著,即使是零日漏洞利用都可以被發現——通過分析代碼的惡意意圖。
使用領域
DCSS安全沙盒系統
安全沙盒系統理念
安全沙盒系統體系
安全沙盒系統特性
安全沙盒系統產品功能
安全沙盒系統部署