: aabbabcd: 要如何設定?讓瀏覽器以外的程式無法在沙盒裡連網?
那個是sandboxie的功能,可以在每個沙盤的選項裡設定,
可以限制每個沙盤裡可以啟動的程式,除了放行的程式,
其他程式都不能啟動執行。
而且凡是下載回來和安裝在沙盤裡的程式都不能被啟動執行,
即使它和放行的程式同名。
譬如說,我在沙盒裡放行iexplore.exe,
所以安裝在系統的IE可以在沙盒裡啟動,
但是在沙盒裡另外下載或安裝的iexplore.exe,
即使和我放行的程式同名,也不能被啟動和執行。
同樣sandboxie也可以設定允許連網的程式,
在沙盤裡另外下載回來的程式即使同名,也不能連網。
還有允許程式直接存取的資料夾,
安裝在系統的程式在沙盒裡執行時,
可以直接存取沙盒外的資料夾。
例如讓Fx或Chrome可以直接存取它的設定資料夾,
或者避免被改首頁只允許存取書籤和瀏覽記錄檔,
這樣書籤和瀏覽記錄就可以直接寫進真實系統。
但是在沙盤裡下載回來或安裝的程式,
即使和放行的程式同名,也不能直接存取這些資料夾。
譬如說我在沙盒裡另外下載了一個chrome.exe,
這個chrome.exe也不能直接存取Chrome的設定資料檔,
如果要允許在沙盤裡下載回來的chrome.exe可以存取設定檔,
有另外一個選項叫做「完全存取」,
允許完全存取的資料夾就可以被沙盒內的程式直接寫入真實系統。
也可以設定程式禁止存取某個資料夾或者只能讀寫某個資料夾。
還有登錄資料庫也是,可以設定限制程式直接存取的範圍。
另外還有一個很重要的選項是降低權限,
之前sandboixe有一個弱點被攻擊,
隔天就被修補好了,但是即使這個弱點沒有被修補,
只要有開啟「降低沙盤內程式的權限」這個功能,
這個攻擊也無法成功,所以降低權限可以再更進一步提高安全。
上面功能免費版都可以使用,
付費版的sandboixe主要是多了三個很重要的功能,
一個是指定應用程式強制入沙,無論在系統何處開啟這個程式,
被誰開啟這個程式,反正只要這個程式被執行,
就一定強制進入指定的沙盤。
另一個功能指定資料夾強制入沙,
譬如說從網路下載回來的所有來路不明的程式,
全部放在強制入沙的資料夾裡,在這個資料夾底下的任何操作,
開啟任何程式,全部強制進入指定的沙盤。
第三個功能可以建立多個獨立的沙盤,為每個沙盤設定不同的選項。
譬如說為Fx建立一個沙盤,為Chrome建立一個沙盤,為IE建立一個沙盤,
然後每個沙盤設定不同的策略,
也可以獨立清空個別沙盤內的資料而不會互相影響。