: aabbabcd: 要如何设定?让浏览器以外的程式无法在沙盒里连网?
那个是sandboxie的功能,可以在每个沙盘的选项里设定,
可以限制每个沙盘里可以启动的程式,除了放行的程式,
其他程式都不能启动执行。
而且凡是下载回来和安装在沙盘里的程式都不能被启动执行,
即使它和放行的程式同名。
譬如说,我在沙盒里放行iexplore.exe,
所以安装在系统的IE可以在沙盒里启动,
但是在沙盒里另外下载或安装的iexplore.exe,
即使和我放行的程式同名,也不能被启动和执行。
同样sandboxie也可以设定允许连网的程式,
在沙盘里另外下载回来的程式即使同名,也不能连网。
还有允许程式直接存取的资料夹,
安装在系统的程式在沙盒里执行时,
可以直接存取沙盒外的资料夹。
例如让Fx或Chrome可以直接存取它的设定资料夹,
或者避免被改首页只允许存取书签和浏览记录档,
这样书签和浏览记录就可以直接写进真实系统。
但是在沙盘里下载回来或安装的程式,
即使和放行的程式同名,也不能直接存取这些资料夹。
譬如说我在沙盒里另外下载了一个chrome.exe,
这个chrome.exe也不能直接存取Chrome的设定资料档,
如果要允许在沙盘里下载回来的chrome.exe可以存取设定档,
有另外一个选项叫做“完全存取”,
允许完全存取的资料夹就可以被沙盒内的程式直接写入真实系统。
也可以设定程式禁止存取某个资料夹或者只能读写某个资料夹。
还有登录数据库也是,可以设定限制程式直接存取的范围。
另外还有一个很重要的选项是降低权限,
之前sandboixe有一个弱点被攻击,
隔天就被修补好了,但是即使这个弱点没有被修补,
只要有开启“降低沙盘内程式的权限”这个功能,
这个攻击也无法成功,所以降低权限可以再更进一步提高安全。
上面功能免费版都可以使用,
付费版的sandboixe主要是多了三个很重要的功能,
一个是指定应用程式强制入沙,无论在系统何处开启这个程式,
被谁开启这个程式,反正只要这个程式被执行,
就一定强制进入指定的沙盘。
另一个功能指定资料夹强制入沙,
譬如说从网络下载回来的所有来路不明的程式,
全部放在强制入沙的资料夹里,在这个资料夹底下的任何操作,
开启任何程式,全部强制进入指定的沙盘。
第三个功能可以建立多个独立的沙盘,为每个沙盘设定不同的选项。
譬如说为Fx建立一个沙盘,为Chrome建立一个沙盘,为IE建立一个沙盘,
然后每个沙盘设定不同的策略,
也可以独立清空个别沙盘内的资料而不会互相影响。