Discussion :

[Stéphane le calme]

Windows 10 : InPrivate Desktop va permettre aux administrateurs de lancer un sandbox temporaire,
afin d'y lancer des applications potentiellement dangereuses

Microsoft est en train de développer une nouvelle fonctionnalité « Sandbox jetable » appelée « InPrivate Desktop ». Celle-ci pourrait être exclusive aux versions Entreprise de Windows 10 et va permettre aux administrateurs de lancer des exécutables non fiables dans un sandbox sécurisé sans crainte d'apporter des modifications au système d'exploitation ou aux fichiers du système.

On peut comparer ce mode à une machine virtuelle sur laquelle votre application sera exécutée, préservant ainsi la santé de votre système d’exploitation en cas de risque potentiel. Ainsi, si l’application contient un malware, ce dernier ne se répandrait pas au système mais resterait localisé dans la machine virtuelle temporaire. Il serait totalement détruit une fois la session de l’application fermée.

« InPrivate Desktop (Preview) fournit aux administrateurs un moyen de lancer un sandbox jetable pour une exécution sécurisée et ponctuelle de logiciels non fiables. Il s’agit d’une VM intégrée à la boîte qui est recyclée lorsque vous fermez l’application », peut-on lire sur le descriptif ci-dessous.

En dehors d'une description de base, Microsoft a également répertorié les conditions préalables à l'exécution de la fonctionnalité, indiquant qu'elle est destinée à Windows 10 Enterprise à partir de la version 17718. La fonctionnalité nécessitera également au moins 4 Go de RAM, au moins 5 Go d'espace disque libre et au moins deux cœurs de processeur.

Cette nouvelle fonctionnalité pourrait recevoir le nom de code « Madrid », selon les informations présentes dans le document. Windows Defender Advanced Thread Protection était connu sous le nom de code « Seville », tandis que Windows Defender Application Guard avait de son côté eu droit au nom de code « Barcelona. »

InPrivate Desktop semble similaire à ce que propose Windows Defender Application Guard (WDAG). WDAG isole les malware potentiels et autres exploits téléchargés depuis le navigateur afin d’isoler et de contenir la menace. WDAG utilise des processus de sécurité basés sur la virtualisation, en isolant le code potentiellement malveillant au sein d’un container afin d’éviter la propagation de celui-ci sur le réseau d’entreprise.

Microsoft devrait donc introduire cette fonctionnalité dans Windows 10 Enterprise, probablement Windows 10 19H1 dont la sortie est prévue pour l’année prochaine au printemps. Actuellement, en dehors de la petite note issue du Feedback Hub de Microsoft Insider, il n'y a pas de détails sur la fonctionnalité. Microsoft a déjà lancé la première build de Windows 10 19H1 dans le cadre de Skip Ahead Insiders il y a quelques semaines.

Source : BC

Et vous ?

Que pensez-vous d'InPrivate Desktop ?

Voir aussi :

Windows 10 Redstone 5 : la build 17730 est disponible avec des améliorations de l'expérience utilisateur pour les smartphones Android et iOS
Windows 10 : Microsoft présente de nouvelles builds dopées au machine learning pour éviter les redémarrages inopportuns après des mises à jour
Un développeur tiers publie LibreOffice pour Windows 10 sur le Microsoft Store, The Document Foundation s'en dédouane et la firme de Redmond l'éjecte
Microsoft annonce la prise en charge des secondes intercalaires par Windows 10 Redstone 5 et Windows Server 2019
La première mise à jour de l'appli Notepad depuis de nombreuses années, dans la build 17713 de Windows 10 Redstone 5

[chrtophe]

Dommage que ce ne soit réservé qu'aux versions entreprise.

[djimtolouma]

Dommage que ce ne soit réservé qu'aux versions entreprise.

[darklinux]

C 'est une bonne idée , mais il est dommage de la réservé à la version enterprise

[hepha1970]

Abonnement mensuel aussi prévu.
Pour ça autant installer Sandboxie, c'est pareil et gratuit.
Voir même installer directement une machine virtuelle.

fournit aux administrateurs un moyen de lancer un sandbox jetable pour une exécution sécurisée et ponctuelle de logiciels non fiables.

Aussi je vois mal un administrateur ayant un minimum de bon sens, tester un logiciel non fiable sur une machine de production couplée à ses autres machines ...
A moins qu'ils songent sandboxer windows lui-même parce que niveau fiabilité, fuites, mouchards.

[chrtophe]

Pour ça autant installer Sandboxie, c'est pareil et gratuit.

Vu que non fourni en version non pro,, je suis d'accord.

[Stéphane le calme]

Windows 10 19H1 va embarquer Windows Sandbox, une machine virtuelle légère
permettant aux utilisateurs d'exécuter des logiciels potentiellement suspects de manière isolée

En août, nous vous rapportions que Microsoft était en train de développer une nouvelle fonctionnalité « Sandbox jetable » appelée « InPrivate Desktop ». D’après la description de la fuite, nous avions pensé que cette fonction pourrait être exclusive aux versions Entreprise de Windows 10 et allait permettre aux administrateurs de lancer des exécutables non fiables dans un sandbox sécurisé sans crainte d'apporter des modifications au système d'exploitation ou aux fichiers du système.

On peut comparer ce mode à une machine virtuelle sur laquelle votre application sera exécutée, préservant ainsi la santé de votre système d’exploitation en cas de risque potentiel. Ainsi, si l’application contient un malware, ce dernier ne se répandrait pas au système mais resterait localisé dans la machine virtuelle temporaire. Il serait totalement détruit une fois la session de l’application fermée.

« InPrivate Desktop (Preview) fournit aux administrateurs un moyen de lancer un sandbox jetable pour une exécution sécurisée et ponctuelle de logiciels non fiables. Il s’agit d’une VM intégrée à la boîte qui est recyclée lorsque vous fermez l’application », pouvait-on lire sur le descriptif.

Windows Sandbox

Microsoft a dévoilé une fonctionnalité prévue pour Windows 10 19H1 (version qui sera déployée au début de l'année prochaine) qui a été baptisée Windows Sandbox. Cette fonctionnalité, qui fera partie des éditions Windows 10 Pro et Enterprise, crée « un environnement de bureau temporaire et isolé » où les utilisateurs peuvent exécuter des logiciels potentiellement suspects, ont annoncé des responsables dans un blog le 18 décembre.

Voici les prérequis pour se servir de cette fonctionnalité

• Windows 10 Pro ou Enterprise build 18305 ou ultérieure
• Architecture AMD64
• Fonctions de virtualisation activées dans le BIOS
• Au moins 4 Go de RAM (8 Go recommandés)
• Au moins 1 Go d'espace disque disponible (SSD recommandé)
• Au moins 2 cœurs de processeur (4 cœurs avec hyperthreading recommandés)

L’équipe décrit Windows Sandbox comme un nouvel environnement de bureau léger conçu pour exécuter en toute sécurité des applications isolées.

Combien de fois avez-vous téléchargé un fichier exécutable sans avoir peur de l'exécuter? Avez-vous déjà été dans une situation qui nécessitait une nouvelle installation de Windows, mais vous ne vouliez pas configurer une machine virtuelle ?

Chez Microsoft, nous rencontrons régulièrement ces situations, nous avons donc développé Windows Sandbox: un environnement de bureau temporaire et isolé, dans lequel vous pouvez exécuter des logiciels non fiables sans crainte de conséquences durables pour votre PC. Tout logiciel installé dans le Windows Sandbox reste uniquement dans le Sandbox et ne peut affecter votre hôte. Une fois que Windows Sandbox est fermé, tous les logiciels avec tous leurs fichiers et leur état sont définitivement supprimés.

Windows Sandbox a les propriétés suivantes:

• Il fait partie de Windows : tout ce qui est requis pour cette fonctionnalité est fourni avec Windows 10 Pro et Enterprise. Pas besoin de télécharger un disque dur virtuel !
• En parfait état : chaque fois que Windows Sandbox s'exécute, il est aussi propre qu'une nouvelle installation de Windows.
• Jetable : rien ne persiste sur l'appareil; tout est jeté après la fermeture de l'application
• Sécurisé : utilise la virtualisation matérielle pour l’isolation du noyau, laquelle repose sur l’hyperviseur de Microsoft pour exécuter un noyau distinct qui isole le bac à sable Windows de l’hôte.
• Efficace : utilise le planificateur de noyau intégré, la gestion intelligente de la mémoire et le processeur graphique virtuel

Sous le capot de Windows Sandbox

Windows Sandbox s'appuie sur les technologies utilisées dans les conteneurs Windows. Les conteneurs Windows ont été conçus pour s'exécuter dans le cloud. Microsoft a utilisé cette technologie, à laquelle l’entreprise a ajouté une intégration avec Windows 10 et des fonctionnalités qui la rendent plus approprié pour fonctionner sur des périphériques et des ordinateurs portables sans nécessiter toute la puissance de Windows Server.

Parmi les principales améliorations apportées, figurent :

La génération dynamique d’image

À la base, Windows Sandbox est une machine virtuelle légère, de sorte qu’elle a besoin d’une image de système d’exploitation. L'une des améliorations clés apportées à Windows Sandbox est la possibilité d'utiliser une copie de Windows 10 installée sur votre ordinateur, au lieu de télécharger une nouvelle image VHD comme vous le feriez avec une machine virtuelle ordinaire.

Microsoft indique vouloir toujours présenter un environnement propre, mais le problème est que certains fichiers du système d'exploitation peuvent changer. Aussi, la solution choisie par l’éditeur consiste à construire ce qu’il appelle une « image de base dynamique »: une image de système d’exploitation contenant des copies nettes de fichiers pouvant être modifiés, mais des liens vers des fichiers ne pouvant pas être modifiés et figurant dans l’image Windows déjà présente sur l’hôte. La majorité des fichiers sont des liens (fichiers immuables) ce qui est la raison de la petite taille (~ 100 Mo) d’un système d’exploitation complet. Microsoft appelle cette instance « image de base » pour Windows Sandbox, un nom qui lui vient directement du jargon de Windows Container.

Lorsque Windows Sandbox n'est pas installé, l’éditeur conserve l'image de base dynamique dans un package compressé de 25 Mo seulement. Une fois installé, le package de base dynamique occupe environ 100 Mo d’espace disque.

Gestion intelligente de la mémoire

La gestion de la mémoire est un autre domaine dans lequel Microsoft a intégré le noyau Windows. L’hyperviseur de Microsoft permet de diviser une seule machine physique en plusieurs machines virtuelles partageant le même matériel physique. Bien que cette approche fonctionne bien pour les charges de travail de serveur traditionnelles, elle n'est pas aussi bien adaptée à l'exécution de périphériques avec des ressources plus limitées. En effet, Microsoft a conçu Windows Sandbox de manière à ce que l'hôte puisse récupérer la mémoire du bac à sable si nécessaire.

De plus, comme Windows Sandbox exécute fondamentalement la même image de système d'exploitation que l'hôte, Microsoft autorise également Windows Sandbox à utiliser les mêmes pages de mémoire physique que l'hôte pour les fichiers binaires du système d'exploitation via une technologie appelée « direct map ». En d'autres termes, les mêmes pages exécutables de ntdll sont mappées dans le bac à sable comme celles de l'hôte. L’éditeur assure qu’il veille à ce que cela soit fait de manière sécurisée et qu'aucun secret ne soit partagé.

Planificateur intégré de noyau

Avec les machines virtuelles ordinaires, l’hyperviseur de Microsoft contrôle la planification des processeurs virtuels exécutés sur les machines virtuels. Cependant, pour Windows Sandbox, Microsoft se sert d’une nouvelle technologie appelée « planificateur intégré » qui permet à l'hôte de décider du moment où le Sandbox s'exécute.

Pour Windows Sandbox, l’éditeur utilise une stratégie de planification unique qui permet aux processeurs virtuels du sandbox d'être planifiés de la même manière que les threads seraient planifiés pour un processus. Les tâches hautement prioritaires sur l'hôte peuvent anticiper un travail moins important dans le Sandbox. L'avantage d'utiliser le planificateur intégré est que l'hôte gère Windows Sandbox comme un processus plutôt que comme une machine virtuelle, ce qui donne un hôte beaucoup plus réactif, similaire au KVM Linux.

L’objectif ici est de traiter la Sandbox comme une application mais avec les garanties de sécurité d’une machine virtuelle.

Snapshot et clone

Comme indiqué ci-dessus, Windows Sandbox utilise l'hyperviseur de Microsoft. Microsoft utilise essentiellement une autre copie de Windows qui doit être démarrée, ce qui peut prendre un certain temps. Ainsi, plutôt que de payer le coût total du démarrage du système d'exploitation sandbox à chaque démarrage de Windows Sandbox, Microsoft se sert de deux autres technologies; Snapshot et Clone.

Snapshot permet d’amorcer une seule fois le démarrage de l’environnement sandbox et de conserver l’état de la mémoire, du processeur et du périphérique sur le disque. Ensuite, l’éditeur peut restaurer l’environnement sandbox à partir du disque et le mettre en mémoire plutôt que de le démarrer, lorsque l’utilisateur a besoin d’une nouvelle instance de Windows Sandbox. Cela améliore considérablement le temps de démarrage de Windows Sandbox.

Source ! Microsoft

Voir aussi :

Windows 10 October 2018 : Microsoft dit avoir corrigé tous les bogues et les problèmes signalés et propose une nouvelle mise à jour plus stable
Red Hat Enterprise Linux débarque sur Windows 10 via WLinux Enterprise, une distribution payante pour le sous-système Windows pour Linux
Windows 10 : Comment empêcher l'OS de partager des données de votre historique d'activités ? Microsoft donne plus d'informations
Microsoft confirme que les utilisateurs de Windows 10 risque de tester une mise à jour instable lorsqu'ils font la mise à jour manuellement
Windows 10 transmet à Microsoft l'historique d'activités de votre PC une fois connecté, même si vous lui dites de ne pas le faire

[Capitaine_aizen]

Est-ce "déconfinable" via Spectre/Meltdown ? (Vrai question)

Ok, c'est clairement plus complexe qu'un cryptoware. Je m'attends donc à ce que sa protège contre une grande gamme de menace "standard".

[Aurelien.Regat-Barrel]

Est-ce "déconfinable" via Spectre/Meltdown ? (Vrai question)

Il me semble que Spectre/Meltdown ne permettent "que" de sniffer la mémoire, pas de la modifier. Donc on peut s'en servir pour voler des infos sensibles mais pas corrompre directement la machine.

[redcurve]

Prochaine étape mettre l'ensemble de win32 en boite

[sergio_is_back]

Prochaine étape mettre l'ensemble de win32 en boite

Sur, comme c'est la seule API de Windows à peu prêt stable vaut mieux que M$ s'en débarrasse rapidement

[chrtophe]

Donc ça passe par la virtualisation. C'est plus lourd que des systèmes comme Sandboxie, mais ça isoler plus (du moins en théorie).

Un autre principe de sandboxing est de faire en sorte qu'une application ne puisse pas lancer d'API système que le code source n'utilise pas. Il existe sous Linux des bibliothèque faisant cela, donc probablement pour Windows aussi.

Apple impose l'usage de sandboxing sur Applestore depuis 2012. Cela est présent également sous Mac OS X (mais non obligatoire je pense). Mac OS X étant une base BSD, je pense qu'ils utilisent les bsd-jails.

Le principe étant une collaboration entre l'appli sandboxée et l'OS, toute comme la paravirtualisation, ou la VM sait qu'elle est virtualisée et collabore avec l'hôte à des fins d'optimisation.

[Aurelien.Regat-Barrel]

Donc ça passe par la virtualisation. C'est plus lourd que des systèmes comme Sandboxie, mais ça isoler plus (du moins en théorie).

Effectivement l'article du blog MS explique que c'est bien un deuxième kernel qui est isolé du kernel hôte. Même chose avec la couche driver / graphique. Donc c'est beaucoup plus lourd qu'une isolation via namespaces (à la Docker). Et j'ai trouvé cet article de MS qui explique que les 2 modes sont supportés par leur techno de conteneurs, et que c'est le mode VM qui est utilisé pour le bac à sable :
https://docs.microsoft.com/fr-fr/vir...tainers/about/

Les conteneurs Windows incluent deux types de conteneurs différents, ou runtimes.

Conteneurs Windows Server: Ils assurent l’isolation des applications via une technologie d’isolation des processus et des espaces de noms. Un conteneur Windows Server partage un noyau avec l’hôte de conteneur et tous les conteneurs exécutés sur l’hôte. Ces conteneurs ne créent pas de frontière de sécurité contre le code hostile et ne doivent pas être utilisés pour isoler du code non fiable. En raison de l’espace de noyau partagé, ces conteneurs requièrent la même version et configuration de noyau.

Isolation Hyper-V: Développe l’isolation fournie par les conteneurs WindowsServer en exécutant chaque conteneur dans une machine virtuelle hautement optimisée. Dans cette configuration, le noyau de l’hôte de conteneur n’est pas partagé avec d’autres conteneurs exécutés sur l’hôte. Ces conteneurs sont conçus pour un hébergement mutualisé hostile avec les mêmes garanties de sécurité qu’une machine virtuelle. Dans la mesure où ces conteneurs ne partagent pas le noyau avec l’hôte et les autres conteneurs exécutés sur l’hôte, ils peuvent exécuter des noyaux ayant des versions et des configurations différentes (dans les versions prises en charge)

Un autre principe de sandboxing est de faire en sorte qu'une application ne puisse pas lancer d'API système que le code source n'utilise pas. Il existe sous Linux des bibliothèque faisant cela

Tu as des infos plus précises là dessus ? car je vois pas mal comment ça peut être mis en place dans le cas d'application natives. Pour des applis mobiles à la Android ça a du sens : on utilise un manifest pour déclarer les groupes d'APIs dont on a besoin (les applis Windows UWP ont le même principe), mais pour des appels système on se base en général sur une gestion de privilèges (sudo, UAC...).

[chrtophe]

Il y a seccomp sous Linux, utilisé par Docker et pour sandboxer chrome il me semble :
https://sysdig.com/blog/selinux-secc...al-discussion/

[Aurelien.Regat-Barrel]

Thanks