■ 江苏 周勇生

编者按：我们即使用了各式专业的安全工具，往往还是不能避免网络攻击。也许有人想到了使用专业的虚拟技术来营造网络工作环境，不过专业虚拟技术需要高性能的计算机支撑才行。事实上，在计算机硬件档次、性能配置不高的情况下，利用虚拟沙盘功能为网络访问营造一种虚拟环境，就可以保证网络访问避免遭遇非法攻击了，甚至也不用安装专业安全工具了。

认识虚拟沙盘

所谓虚拟沙盘，可以看成一个运行在系统中的虚拟容器，在该容器中运行一些不是很安全的应用程序，运行过程中的一些非法操作被容器强行隔离，不会影响计算机系统的工作状态。

伴随着虚拟技术的逐步成熟，虚拟沙盘得到越来越广泛的应用，将重要测试操作放到虚拟沙盒中进行写入保护，是一种很安全的防护手段。因此现在不少用户会运用虚拟沙盘技术来主动测试病毒程序的破坏力。

借助数据重定向技术，将应用程序生成或调用的数据文件，定向到自身文件夹中。只是这些数据的调整变化，包括注册表和一些系统的核心数据，常常会借助加载自身的软件驱动来保护底层数据，这种安全保护属于驱动级别的保护。

虚拟沙盘属于被动防御技术，其一旦发现可疑程序时，不会立即拦截并终止其运行，只要当确定是恶意程序时，才会真的终止其运行。虚拟沙盘技术的主要工作流程是，先让疑似恶意程序的非法行为在虚拟沙盘中充分表演，虚拟沙盘会自动记下其每一个动作。当疑似恶意程序充分暴露其恶意属性后，该技术就会强制执行系统回滚操作，将恶意程序的操作痕迹和动作抹干净，恢复计算机系统到原始状态。

借助外力用沙盘

巧妙通过虚拟系统能够高效快捷地保护各种操作安全，但在平时工作中，用户或许更多的是对某些网页内容访问不放心，若是单纯为了达到这种安全防范目的，就要小题大作地去安装使用虚拟系统，明显有点浪费。

这时不妨尝试使用“Sandboxie”程序的虚拟隔离技术，在计算机系统与IE浏览器之间创建一个安全隔离层，当启动运行IE浏览器程序时，浏览器程序会被智能工作于虚拟隔离环境，这样恶意程序通过浏览器对计算机系统所进行的各种调整、篡改，只适合隔离环境，而不适用于真实的计算机系统。

这样，即使不小心感染病毒木马，计算机系统的安全也不会受到任何的影响。

首次安装好“Sandboxie”程序后，它就会自动提醒及时生成有关配置文件，以便能按用户真实需求进行上网访问。

在该程序主操作窗口中，逐一点选“沙盘”→“创建”命令，来生成一个新的沙盘，接着将需要访问使用的浏览器程序用鼠标直接拖放到沙盘中运行，此时借助该浏览器程序访问的网页内容，都不会影响到系统的安全，即使被浏览的网页背后暗藏有病毒木马，也不能破坏真实操作系统中的关联文件。

当然，用户也可以在新沙盘右键菜单中逐一选择“在沙盘中运行”→“运行网页浏览器”选项，来将IE浏览器程序放置到隔离环境中运行。

为了避免用户操作失误，在非隔离环境下不小心开启了浏览器程序的运行状态，用户可以通过适当的配置，强制浏览器程序必须在虚拟隔离环境下才能正常工作。在“Sandboxie”程序主操作窗口中，逐一点选“沙盘”→“沙盘名称”→“沙盘设置”→“强制运行程序”命令，在其后弹出的窗口中，导入需要在虚拟隔离环境下工作的网络连接程序，例如IE浏览器程序，确认后退出设置对话框。这样，日后无论在什么情形下开启浏览器，“Sandboxie”程序都会强制将其工作在虚拟隔离环境中。

Bufferzone也是一种常用虚拟沙盘软件，它不仅可以营造虚拟系统环境，让系统中的重要程序不被劫持，防止重要数据被盗窃，而且还能隔离浏览器，让网页背后的病毒木马无法破坏真实的计算机系统。任何已知的或未知的恶意程序，都无法逃脱Bufferzone工具编织的法网，因为该工具运行于系统内核，能对所有未知类型的攻击进行连接，让操作系统毫发未损。

该工具支持Security through Virtualization这种特殊方式，动态隔离可能存在安全威胁的应用程序，被隔离后的上网程序会时刻受到其监控，一切潜藏有非法攻击的操作都会被严格拒绝。用户不需要使用它扫描系统，也不需对它执行升级操作，只要简单通过其“未审核程序虚拟化”技术，重定向IE浏览器程序对Windows系统所做的操作到一个虚拟隔离环境中，这样病毒木马通过浏览器程序所做的各种非法操作都不会被应用到真实的系统中去。

而且，Bufferzone工具还支持“私密文件”功能，可以使通过浏览器运行的恶意程序既无法看见也不知道本地系统的私密文件，所有间谍程序、键盘记录程序和木马都无法盗窃本地计算机系统中的私密数据。

下载安装好Bufferzone工具后（安装前必须确保拥有10G大小的剩余空间用来创建虚拟环境，也就是Virtual文件夹），打开系统资源管理器窗口，会发现Virtual文件夹默认位于系统分区中。如果担心系统分区空间不够时，可以在安装过程中，修改目标工具的安装路径，让其指向非系统分区，同时预留更大的磁盘空间，让虚拟隔离环境支持更多程序的运行。

当BufferZone运 行后，常用软件如IE、QQ等快捷菜单中，都会出现“Move to bufferzone”、“Open in bufferzome”等功能命令，使用它们可以让IE浏览器等程序在虚拟环境中运行，上网访问时我们会发现浏览器窗口被红色框包围，这就意味着，现在我们所进行的一切操作在关闭BufferZone工具后就会消失，现在的各种操作行为都是安全的，不怕任何病毒木马的攻击。

其中前面一个命令表示将目标程序移入虚拟隔离环境，以后运行就会直接在虚拟隔离环境中打开。移入虚拟隔离环境的程序都会被BufferZone工具打上特有的标志，表示它们都是BufferZone工具监视的对象，哪个程序进行了非法操作，都逃不过BufferZone的法眼。

后一个命令就是暂时让目标程序在虚拟隔离环境中运行，当操作退出后，下次目标程序的运行就不会自动处于隔离状态了。

对于重要的文件夹，如果我们不希望来自网络的程序偷偷访问时，也可以使用BufferZone工具将其隔离保护起来。

只要用鼠标右键单击目标文件夹，从弹出的右键菜单中，依次点选“BufferZone” →“Confidential：hide from bufferzone”命令，这时目标文件夹中就会出现一把小锁标志，这代表该文件夹中的数据内容正受到安全保护，处于虚拟隔离环境中的浏览器程序或其他程序都不能访问它。

例如，在经过上述设置操作后，当我们尝试通过虚拟隔离环境下的IE浏览器程序，打开重要文件夹中的某个图像文件时，系统会出现“无效的图片文件”提示对话框，这代表隐私内容得到了安全保护。如果希望虚拟隔离环境内外的所有程序，都无法访问特定的重要文件夹内容时，只要从该文件夹的右键菜单中，依次选择执行“BufferZone”→“Forbidden：deny all access”命令即可。

拥有了BufferZone工具，网络上的任何病毒木马攻击都得靠边站，因为它用一个虚拟的“安全缓冲区”隔离非信任程序，病毒木马无法接触到真实系统，自然谈不上威胁系统安全了。

借助内力用沙盘

在手头没有外力利用的情况下，我们也可以将目光瞄向Windows系统的自身功能。

例如，在Windows 10系统环境下，大家可以巧妙利用内置的Windows Defender Application Guard功能组件来实现虚拟沙盘技术，安全隔离用户的一些不安全操作，确保他们的网络访问正常。

在默认状态下，Windows 10系统没有启用Windows Defender Application Guard功能，此时可以打开计算机系统的控制面板窗口，双击其中的“Windows功能”图标，进入对应功能的列表界面，选中“Windows Defender应用程序防护”功能选项，确认后按照提示启用对应系统组件，重新启动计算机，这样，上述功能就正式生效了。

日后想借助该功能保护网页浏览操作时，可以在运行Edge浏览器后，依次选择“菜单”→“新建应用程序防护窗口”命令，就会弹出一个受到安全保护的新操作窗口。这时，Windows Defender Application Guard功能就会自动进行隔离环境初始化操作，在初始化任务完成后，系统会弹出一个全新的微软Edge浏览器，该窗口左上侧有明显的“应用程序保护”提示，窗口边缘的颜色也是与之前不同，用户能很直观地看出当前的工作窗口正处于安全保护状态。

在这个受保护的工作窗口中所进行的任何网页访问操作都会被强制隔离在一个安全独立的虚拟沙盘环境中，而且它的安全防护效果几乎就是在真正的虚拟机中使用Edge浏览器上网访问一样。

例如，在这个受保护的工作窗口中访问到挂马网页或者是无意中下载了恶意程序时，这些操作都会被虚拟沙盘自动隔离，不会影响到操作系统的运行安全。当关闭了Edge浏览窗口时，各种操作产生的痕迹都会被自动抹除，那么恶意程序产生的威胁操作自然也会被清零，最终主机系统也不会受到任何影响。

默认状态下启用Windows Defender Application Guard功能的虚拟沙盘后，在保护模式下下载获得的数据，是无法存储到主机系统的。如果既希望使用虚拟沙盘来保护上网安全，又希望能够依照实际情况有针对性地提取隔离系统的相关数据时，在这里大家可以合理地配置Windows系统的组策略参数。

比方说，要进行一些危险性测试操作时，考虑到安全方面的因素，或许需要在虚拟沙盘环境下访问一些恶意站点，同时需要将一些病毒代码拷贝到主机系统中存储。这个时候不妨在系统组策略中，启用从隔离系统中复制或粘贴的功能。下面就是详细的操作步骤：

首先打开系统的运行对话框，输入“gpedit.msc”命令并确认后，弹出系统组策略编辑界面，在该编辑界面的左侧列表中，将鼠标定位到“本地计算机策略”→“计算机配置”→“管理模板”→“Windows组件”→“Windows Defender应用程序防护”节点上，找到该节点下面的“配置Windows Defender应用程序防护剪贴板设置”选项，用鼠标双击该组策略选项，打开对应选项的“设置”对话框。

其次，在这里大家可以按需配置，比如说想从虚拟沙盘中拷贝特定的文本内容时，只要将“剪贴板的行为设置”调整为“应用从隔离会话到主机的剪贴板操作”，内容选项调整为“1”，确认后保存设置操作。

如此一来，当用户在虚拟沙盘环境中查看到非法代码内容时，就能够通过复制粘贴的方式，将代码内容复制粘贴到当前主机系统。其他类似共享、打印、存储虚拟沙盘下载的数据等操作，也能在相关功能配置中进行合适的配置。