La nuova funzionalità Sandbox di Windows 10 è tutto ciò che abbiamo sempre desiderato

Che si tratti di un software scaricato dalla rete o ricevuto via email, l’esecuzione di file eseguibili ha sempre presentato dei rischi. Per testare il software in ambienti sicuri, è necessario un programma di virtualizzazione e una licenza Windows separata da installare all’interno della macchina virtuale. Microsoft sta per introdurre una soluzione a questo problema con Windows Sandbox.

Macchine virtuali: ideali per test sicuri, ma complesse da gestire

A tutti è capitato di ricevere un’email che sembrava provenire da un contatto noto, con un allegato. Magari stavamo aspettando proprio quel file, ma qualcosa ci insospettisce. Oppure abbiamo trovato un’applicazione interessante online, ma lo sviluppatore ci è sconosciuto.

Cosa fare in questi casi? Scaricare ed eseguire il file, correndo il rischio? Con la diffusione del ransomware, la prudenza non è mai troppa.

Nello sviluppo software, a volte la necessità più impellente è un sistema pulito, un ambiente operativo rapido e facile da configurare, senza altri software, file o script installati, che potrebbero alterare i risultati dei test.

La soluzione migliore in entrambi i casi è l’utilizzo di una macchina virtuale, che fornisce un sistema operativo isolato. Se l’allegato contiene malware, l’unica parte coinvolta sarà la macchina virtuale. Basterà ripristinarla a uno stato precedente. Nello sviluppo software, invece, potremo effettuare test come se avessimo appena installato un nuovo sistema operativo.

Tuttavia, il software di virtualizzazione presenta alcuni svantaggi.

Innanzitutto, può essere costoso. Anche se si utilizza un software gratuito come VirtualBox, è comunque necessaria una licenza Windows valida per il sistema operativo virtualizzato. Si potrebbe anche utilizzare Windows 10 senza attivazione, ma questo comprometterebbe le possibilità di test.

In secondo luogo, per prestazioni accettabili, una macchina virtuale richiede hardware potente e molto spazio di archiviazione. L’uso di snapshot può riempire rapidamente un SSD. L’utilizzo di un hard disk tradizionale, invece, può comportare un calo delle prestazioni. È sconsigliabile utilizzare tali risorse su un computer portatile.

Infine, le macchine virtuali sono complicate. Non sono l’ideale se si vuole solo testare un file eseguibile sospetto.

Fortunatamente, Microsoft ha annunciato una nuova soluzione che risolve tutti questi problemi.

Windows Sandbox

In un articolo sul blog della Tech Community di Microsoft, Hari Pulapaka descrive nel dettaglio la nuova funzione Windows Sandbox. Precedentemente nota come InPrivate Desktop, questa funzione crea un “ambiente desktop isolato e temporaneo” in cui è possibile eseguire software senza il rischio di danneggiare il sistema principale.

Come una macchina virtuale standard, il software installato nella sandbox rimane isolato e non ha alcun impatto sul sistema operativo principale. Alla chiusura di Sandbox, tutti i programmi, i file e le modifiche alle impostazioni vengono eliminati. Alla successiva esecuzione di Sandbox, l’ambiente si presenterà nello stato iniziale. Microsoft utilizza la virtualizzazione basata su hardware, tramite hypervisor, per eseguire un kernel separato e isolare Sandbox dal sistema operativo principale.

Ciò significa che si potrà scaricare un file eseguibile da una fonte poco affidabile e installarlo in Sandbox senza timore di danneggiare il sistema. Oppure testare rapidamente uno scenario di sviluppo in una nuova istanza di Windows.

I requisiti sono sorprendentemente bassi:

Windows 10 Pro o Enterprise build 18301 o successiva (attualmente non disponibile, ma in arrivo come build Insider Preview)
Architettura x64
Funzionalità di virtualizzazione abilitate nel BIOS
Almeno 4 GB di RAM (consigliati 8 GB)
Almeno 1 GB di spazio libero su disco (consigliato SSD)
Almeno 2 core della CPU (consigliati 4 core con hyperthreading)

Uno dei vantaggi di Sandbox è che non è necessario scaricare o creare un disco rigido virtuale (VHD). Windows genera dinamicamente un’istantanea di sistema pulita basata sul sistema operativo principale. Il sistema si collega ai file invariati e fa riferimento a quelli comuni che subiscono modifiche.

In questo modo l’immagine risulta incredibilmente leggera: solo 100 MB. Se Sandbox non è in uso, l’immagine viene compressa a 25 MB. Essendo sostanzialmente una copia del sistema operativo principale, non è necessaria una chiave di licenza separata. Chi possiede Windows 10 Pro o Windows 10 Enterprise ha tutto il necessario per eseguire Sandbox.

Per motivi di sicurezza, Microsoft utilizza il concetto di contenitore introdotto in precedenza. Il sistema operativo Sandbox è isolato dal sistema operativo principale, consentendo a quella che sembra una macchina virtuale di comportarsi come un’app.

Nonostante i livelli di separazione, il sistema operativo principale e Sandbox collaborano. Se necessario, il sistema operativo principale recupererà memoria da Sandbox per evitare rallentamenti. Inoltre, Sandbox è a conoscenza del livello della batteria del computer, per ottimizzare il consumo energetico. È possibile utilizzare Sandbox anche su un computer portatile.

Queste e altre innovazioni rendono questo sistema virtuale sicuro, veloce ed economico, una valida alternativa alle macchine virtuali tradizionali, con un sovraccarico di risorse inferiore. È possibile creare, testare e distruggere rapidamente istantanee, ripetendo l’operazione se necessario. Chiaramente, l’utilizzo di hardware più performante migliorerà ulteriormente le prestazioni. Ma come indicato, anche hardware meno recenti dovrebbero essere in grado di eseguire Sandbox.

L’unico limite è che non tutti i computer dispongono di Windows 10 Pro o Enterprise. Windows 10 Home non supporta Sandbox.

Come ottenere Windows Sandbox?

Aggiornamento: Microsoft ha recentemente rilasciato Windows 10 build 18305 agli Insider del Fast Ring. Se si è disposti a utilizzare software in versione preliminare, è possibile aggiornare ora aderendo al programma Insider. Si consiglia, tuttavia, di non effettuare l’aggiornamento sul computer principale.

Al momento Windows Sandbox non è ancora disponibile. È necessario Windows 10 build 18301 o successiva, che non è stata ancora rilasciata. Una volta disponibile, la procedura sarà semplice. Sarà necessario abilitare la virtualizzazione dal BIOS, quindi attivare Windows Sandbox nella finestra Funzionalità di Windows:

Una volta installato Windows Sandbox, l’avvio è simile a quello di qualsiasi altro programma. Sarà sufficiente avviarlo dal menu Start, accettando la richiesta UAC che assegna i privilegi di amministratore. Si potranno quindi trascinare file e programmi nella sandbox per testarli. Una volta finito, alla chiusura del programma, tutte le modifiche apportate verranno eliminate.

Fonte: Mary Jo Foley