Виртуальная среда в COMODO Internet Security 10-12. Безопасный шоппинг

Виртуальная среда Контейнер COMODO, приемы работы с ней, права и ограничения виртуализированных программ. Безопасный шоппинг COMODO.

• Работа в виртуальной среде
  • Виртуальное выполнение программ
  • Очистка виртуальной среды
  • Области общего доступа
• Особенности виртуализации COMODO
  • Параметры виртуальной среды
  • Размещение данных виртуальной среды
  • Контроль HIPS над виртуализированными программами
  • Изоляция буфера обмена
  • Защита от чтения
  • Контроль фаервола над виртуализированными программами
  • Прочие ограничения программ в виртуальной среде
• Способы открытия файлов и ссылок в виртуальной среде
  • Установка программ в виртуальной среде и их запуск
  • Открытие интернет-ссылок в песочнице
  • Запуск программ в песочнице через интерфейс CIS
  • Запуск программ в виртуальной среде с ограничениями
  • Виртуальный рабочий стол
• Безопасный шоппинг
  • Общие сведения
  • Использование «Безопасного шоппинга»
  • Контроль рейтинга программ в среде «Безопасного шоппинга»
  • Некоторые проблемы «Безопасного шоппинга»

Работа в виртуальной среде

Виртуальное выполнение программ

COMODO Internet Security позволяет запускать программы в виртуальной среде (называемой также «контейнер» или «песочница»), чтобы их активность почти не затрагивала реальную систему. Если, например, вызвать контекстное меню на какой-либо программе и выбрать пункт Запустить в Контейнере COMODO, то она запустится и во многих случаях будет полноценно работать, но не произведет нежелательных изменений. Запущенные ей программы также будут виртуализированы. Другие способы запуска программ в виртуальной среде будут рассмотрены ниже.

Обычно виртуализированные программы имеют зеленую рамку вокруг окна, однако гарантированный способ узнать о виртуализации — нажать в главном окне CIS индикатор Изолировано в Контейнере и найти программу в открывшемся списке активных процессов: в столбце Ограничение должно быть указано Полная виртуализация. Аналогичное можно увидеть в менеджере процессов KillSwitch.

Через контекстное меню можно открывать в контейнере файлы любых типов, а не только исполняемые. Так, сомнительные документы предпочтительнее открывать виртуально, во избежание эксплоитов или вредоносных макросов.

Очистка виртуальной среды

Следы активности виртуализированных программ сохраняются в специальном каталоге на диске и в специальном разделе реестра. Эти данные останутся доступными и после перезагрузки компьютера. Например, можно будет запускать и использовать программы, установленные в виртуальной среде.

Чтобы завершить все виртуальные процессы и удалить все данные из виртуальной среды, следует нажать кнопку Очистка Контейнера (главное окно → Задачи → Задачи Containment). Для удобства эту кнопку можно добавить в виджет и на панель главного окна (через контекстное меню). Кроме того, окно очистки песочницы можно вызвать командой "%PROGRAMFILES%\Comodo\COMODO Internet Security\cis.exe" --mainUI /TaskSBReset.

Области общего доступа

Если необходимо сохранить файлы с результатами работы виртуализированной программы, следует поместить их в специальную папку обмена, доступ к которой не виртуализируется. Соответственно, очистка Контейнера не затронет эти файлы.

Разумеется, в такой папке нельзя хранить важные файлы, так как сомнительные программы будут иметь к ним полный доступ.

К каким именно файлам и папкам не будет виртуализироваться доступ, задается соответствующей опцией на вкладке Containment → Настройка Containment. По умолчанию они представлены группой Области общего доступа, в которую входит каталог загрузок в профиле пользователя, каталог избранного, а также каталог %PROGRAMDATA%\Shared Space. На мой взгляд, это не самые удачные местоположения. Рекомендую вместо них создать, например, папку SharedSpace в корне какого-либо диска и добавить ее в группу Области общего доступа (Рейтинг файлов → Группы файлов), а прочие записи из этой группы удалить.

Если виртуализированная программа сохранила результаты работы в иное место, следует запустить какой-либо файловый менеджер (проводник, Total Commander и т.п.) виртуально через контекстное меню и переместить нужные файлы в папку обмена. Также можно сделать ярлык для запуска файлового менеджера в виртуальной среде.

Если необходимо, чтобы для какой-либо программы, выполняемой в виртуальной среде, даже после очистки Контейнера сохранялись изменения конфигурации и прочие данные, можно исключить из виртуализации используемые ей конфигурационные файлы и записи реестра. Эти исключения задаются в соответствующих опциях на вкладке Настройка Containment.

Особенности виртуализации COMODO

Параметры виртуальной среды

Опция Включить автозапуск сервисов, установленных в Контейнере (Containment → Настройка Containment) имеет следующий смысл: если в виртуальной среде создать службу, то при каждом использовании виртуальной среды эта служба будет запускаться. Если лишь перезагрузить компьютер — автозапуск службы не произойдет. Но если запустить какую-либо программу в виртуальной среде, то вместе с ней запустится и эта служба. Так запускаться будут программы, установленные именно как службы, а не добавленные в автозагрузку иными способами. При очистке виртуальной среды эти службы, естественно, удаляются. Если нет необходимости в данной опции, рекомендую ее отключить.

Опции на вкладке Настройка Containment, связанные с обнаружением программ, требующих повышенных привилегий, относятся к компоненту Auto-Containment, а не собственно к виртуальной среде.

Размещение данных виртуальной среды

Когда в виртуальной среде какая-либо программа создает или изменяет файлы, в действительности эти файлы создаются в каталоге VTRoot на системном диске. Подкаталоги VTRoot соответствуют Native-именам разделов жесткого диска: HarddiskVolume1 для диска C:, HarddiskVolume2 для диска D: и т.д. Таким образом, виртуально созданному файлу C:\dir\file.exe будет соответствовать реальный файл %SYSTEMDRIVE%\VTRoot\HarddiskVolume1\dir\file.exe.

Виртуальному реестру соответствует раздел реального реестра HKLM\SYSTEM\VritualRoot (sic!). При работе виртуализированных программ данные реестра записываются в его подразделы.

При очистке виртуальной среды каталог VTRoot и раздел реестра VritualRoot удаляются.

Контроль HIPS над виртуализированными программами

Разбор компонента HIPS будет в другой статье, здесь же коснусь особенностей его работы с виртуальной средой.

На программы, выполняющиеся виртуально, совершенно не действуют запреты на изменение файлов и ключей реестра. Внимание! Такие программы смогут повредить файлы и ключи реестра, исключенные из виртуализации, независимо от правил HIPS. Таким образом, повторю, опасно добавлять что-либо важное в области общего доступа.

Активность программ, выполняющихся виртуально, не вызывает оповещений HIPS: им разрешается все, что не запрещено в правилах. Как уже сказано, защита файлов и реестра не работает даже при наличии запретов, однако можно наложить запреты на запуск приложений, на завершение процессов, на слежение за клавиатурой, на доступ к COM-интерфейсам и др.

При создании правила HIPS для приложения следует указывать его реальное местоположение; также реальным должен быть путь к некоторым запрещаемым или разрешаемым ресурам. Однако, чтобы разрешить или запретить запуск определенной программы, следует указать ее виртуальный путь. Например: в виртуальной среде созданы файлы C:\program.exe, C:\child.exe и C:\sacrifice.exe, и требуется запретить программе program.exe запускать программу child.exe, а также запретить ей прерывать работу программы sacrifice.exe. Тогда понадобится создать для программы c:\VTRoot\HarddiskVolume1\program.exe правило, запрещающее ей запускать программу C:\child.exe, и правило, запрещающее прерывать работу программы c:\VTRoot\HarddiskVolume1\sacrifice.exe.

Изоляция буфера обмена

Запрещен обмен данными между реальной и виртуальной средой через буфер обмена. Данные, скопированные в реальной среде, не вставляются в виртуально запущенную программу. И наоборот, данные, скопированные из программы в Контейнере, не вставляются в программу, работающую в реальной среде.

В то же время можно обмениваться данными внутри виртуальной среды: копировать из одной программы и вставлять в другую.

Тем не менее, есть способ переносить содержимое буфера обмена между реальной и виртуальной средой. Для этого достаточно исключить какую-либо программу, например, текстовый редактор из «защиты от shell-кода». Однако тогда ослабнет контроль над этой программой и ее дочерними процессами. Поэтому предложу другой вариант.

Поместим в любое удобное место пару программ (пароль cis): ComodoShareClipboard.exe и ComodoShareClipboard_helper.exe, добавим их в доверенные, а также добавим программу ComodoShareClipboard_helper.exe в список Усиленная защита → Разное → Не обнаруживать внедрение shell-кода. Для удобства закрепим программу ComodoShareClipboard.exe в Пуске.

Программы написаны на AutoIt3, в папке source прилагается исходный код и конвертер: в случае сомнений вы можете сгенерировать аналогичные, проверив их код и подпись конвертера.

Теперь, чтобы «переместить» буфер обмена из одной среды в другую, достаточно запустить программу ComodoShareClipboard.exe — данные станут доступны для вставки. Это работает в обе стороны, из реальной среды в виртуальную и обратно. Ограничение: данные должны быть текстом, не превышающим несколько килобайт.

Защита от чтения

Виртуальная среда может защищать данные не только от изменения, но и от чтения: если в окне настройки открыть вкладку HIPS → Защищенные объекты → Защищенные данные и добавить в список какой-либо каталог, то виртуализированные приложения будут воспринимать его пустым. Полезно скрыть таким способом каталог с профилем интернет-браузера, различные хранилища паролей и т.п.

Через интерфейс CIS можно добавить в список «Защищенных данных» лишь те каталоги, которые видны в проводнике. Если необходимо защитить данные в каком-либо скрытом каталоге, следует временно разрешить показ скрытых файлов и папок в проводнике (например, через «Панель управления»).

В «Защищенные данные» желательно добавлять каталоги, расположенные только на локальных дисках. Формально можно добавить в этот список съемные носители или виртуальные шифрованные диски, но для них защита от чтения, как правило, не работает.

Начиная с CIS 11, защищать от чтения можно делать не только каталоги, но и произвольные файлы, шаблоны их путей и группы — соответствующие файлы становятся невидимыми в виртуальной среде. Также в какой-то мере стало работать сокрытие данных, размещенных на виртуальных шифрованных дисках. Однако, например, данные на томе VeraCrypt, смонтированном в режиме съемного устройства, по-прежнему не скрываются.

Специализированные программы, запущенные в виртуальной среде от имени администратора, могут обойти эту защиту посредством прямого доступа к файловой системе и прочитать конфиденциальные данные. Кроме того, такие программы способны прочитать данные из удаленных файлов.

Контроль фаервола над виртуализированными программами

В отличие от HIPS, фаервол выдает оповещения о программах, выполняющихся в виртуальной среде.

Как и HIPS, фаервол идентифицирует программы по их реальным путям, т.е. для программы, созданной в виртуальной среде как C:\test.exe, в правилах и оповещениях будет представлен путь наподобие c:\VTRoot\HarddiskVolume1\test.exe.

Когда программа запущена виртуально, фаервол контролирует ее сетевую активность, независимо от рейтинга. Таким образом, при «Безопасном режиме» фаервол обращается с виртуализированными программами так же, как при «Пользовательском наборе правил»: в отсутствие разрешающего или запрещающего правила выдается оповещение (если их показ не отключен).

Итак, для использования браузеров и подобных программ в виртуальной среде необходимо создать для них разрешающие правила, даже если выбран «Безопасный режим» фаервола. Ценой этого неудобства предотвращается утечка данных в ситуации, когда вредоносная программа запускает безопасную для доступа в интернет.

Разумеется, разрешающие правила не потребуются, если фаервол вообще отключен или настроен на разрешение всех запросов без оповещений.

Прочие ограничения программ в виртуальной среде

Независимо от правил HIPS, программам, которые выполняются виртуально, ограничен доступ к клавиатуре и монитору: им запрещается слежение за нажатиями клавиш, отдельные способы снятия скриншотов, а также создание рабочего стола, блокирующего интерфейс. Эта защита появилась в CIS 10, она в некотором смысле более мягкая, чем создаваемая правилами HIPS, и потому должна меньше грозить конфликтами и неудобствами.

Доступ к некоторым другим ресурсам также запрещен из виртуальной среды, независимо от правил HIPS. Например, в виртуальной среде недоступна служба BITS, которая могла бы использоваться для выхода в интернет в обход фаервола. Также блокируются различные операции виртуализированных процессов с процессами, выполняющимися в реальной среде.

В то же время в виртуальной среде доступен интерфейс DNS, что создает некоторую угрозу утечки данных в обход фаервола, — однако его можно закрыть правилами HIPS.

Еще один способ обойти фаервол из виртуальной среды — поместить вредоносный код в память браузера или другой программы, имеющей разрешения в правилах фаервола. Эту угрозу также можно предотвратить правилами HIPS.

В виртуальной среде не действуют правила Auto-Containment: например, если некое приложение положено блокировать, то оно все же выполнится при запуске в виртуальной среде.

Способы открытия файлов и ссылок в виртуальной среде

Обычно, чтобы открыть файл в виртуальной среде, удобнее всего воспользоваться пунктом контекстного меню Запустить в Контейнере Comodo, упомянутым в начале статьи. Однако возможны особые случаи, рассмотрим их.

Установка программ в виртуальной среде и их запуск

В виртуальной среде можно устанавливать различные программы, пользоваться ими и сохранять результаты работы. Программы, установленные виртуально, будут доступными и после перезагрузки компьютера. Удаление этих программ вместе со следами их работы производится нажатием кнопки «Очистка Контейнера».

Чтобы установить программу виртуально, необходимо запустить ее установщик через пункт контекстного меню Запустить в Контейнере COMODO. Однако чтобы воспользоваться установленной программой, понадобится сначала через контекстное меню открыть в виртуальной среде какой-либо файловый менеджер, найти исполняемый файл или ярлык этой программы и запустить ее.

Поскольку при установке программы обычно создается ее ярлык на рабочем столе, было бы удобно сразу открывать виртуальное содержимое рабочего стола. Для этого создадим ярлык, указав в поле Объект команду:

"%PROGRAMFILES%\Comodo\COMODO Internet Security\virtkiosk.exe" -v %windir%\explorer.exe shell:Desktop

Зададим этому ярлыку желаемый значок и назовем, например, «Desktop (virtual)». Теперь этот ярлык будет запускать в виртуальной среде проводник с открытым в нем рабочим столом.

Открытие интернет-ссылок в песочнице

Можно оснастить интернет-браузер контекстным меню для открытия сомнительных ссылок в виртуальной среде. Приведу пример для браузера Firefox:

• будем использовать два браузера: основной, назначенный по умолчанию, и дополнительный, портативный;
• дополнительный браузер поместим в каталог наподобие C:\mySecretPath\FirefoxPortable;
• скопируем файл FirefoxPortable.ini из каталога FirefoxPortable\Other\Source в каталог FirefoxPortable;
• изменим в этом файле строку AllowMultipleInstances=false на AllowMultipleInstances=true;
• назначим в фаерволе набор правил Только исходящие файлам дополнительного браузера:
  • C:\mySecretPath\FirefoxPortable\App\Firefox\firefox.exe
  • C:\mySecretPath\FirefoxPortable\App\Firefox\plugin-container.exe
• в основной браузер установим дополнение Open With;
• в параметрах дополнения включим контекстное меню ссылок и добавим элемент с параметрами:
  • команда: путь к файлу %PROGRAMFILES%\COMODO\COMODO Internet Security\virtkiosk.exe
  • аргументы: -v "c:\mySecretPath\FirefoxPortable\FirefoxPortable.exe"
  • имя: Firefox (Контейнер COMODO)

Запуск программ в песочнице через интерфейс CIS

Интерфейс CIS имеет специальную кнопку для запуска программ в Контейнере: Главное окно → Задачи → Задачи Containment → Запуск в виртуальной среде. Этой кнопкой можно также создать ярлык для запуска какого-либо приложения в виртуальной среде.

Также можно создавать правила, чтобы определенные программы или их группы всегда запускались в виртуальной среде. Для этого следует включить Auto-Containment, и добавить правило на вкладке Containment → Авто-Containment. Если при этом вы не хотите, чтобы все неопознанные программы автоматически запускались виртуально, деактивируйте соответствующее правило на этой вкладке.

Запуск программ в виртуальной среде с ограничениями

Существует возможность запускать программы не только в виртуальной среде, но и с дополнительными ограничениями. Для этого следует включить Auto-Containment и создать правило, предписывающее целевому приложению запускаться виртуально, при этом задав на вкладке Опции уровень ограничений. Данные ограничения наследуются дочерними процессами. Так, если задать какому-либо приложению уровень Ограниченное, то оно и запущенные из него программы будут работать в виртуальной среде и не получат доступа к буферу обмена. Также можно ограничить время выполнения этих программ и выделяемую им память.

На мой взгляд, неудобно заниматься настройкой CIS каждый раз, когда требуется запустить новое сомнительное приложение в виртуальной среде с ограничениями. Предложу способ такого запуска через контекстное меню проводника.

Для этого будет использоваться простейшая программа, которая запускает файл, указанный в ее аргументах командной строки. Понадобится скачать архив с программой (пароль cis), поместить программу в любое удобное место, добавить ее в доверенные и запустить — будет предложено добавить в контекстное меню проводника пункт COMODO: открыть в песочнице с ограничениями (его удаление выполняется повторным запуском). Программа написана на AutoIt3, в папке source прилагается исходный код и конвертер: в случае сомнений вы можете сгенерировать аналогичную программу, проверив ее код и подпись конвертера.

Затем понадобится включить Auto-Containment и добавить новое правило:

• выбрать действие Запускать виртуально,
• на вкладке Критерии указать расположение программы,
• на вкладке Опции задать:
  • уровень ограничений: Ограниченное (можно выбрать любой, кроме «Недоверенного», или не задавать вообще),
  • размер памяти: 512 МБ (или любой другой),
  • время, отводимое на выполнение: 300 секунд (или любое другое).

Теперь для запуска какого-либо файла с ограничениями следует вызвать на нем, удерживая клавишу Shift, контекстное меню и выбрать пункт COMODO: открыть в песочнице с ограничениями. Например, таким способом можно запускать вредоносные программы, блокирующие интерфейс ОС и препятствующие очистке песочницы: через заданное время они завершатся. Однако предупрежу, что ограничение по времени легко обойти.

Чтобы не загромождать контекстное меню, новый пункт будет скрытым: доступным только при удержании клавиши Shift. Поскольку есть риск, что правило Auto-Containment не сработает (например, когда Auto-Containment отключен), перед запуском файла появится диалоговое окно: понадобится подтвердить, что окно открыто в виртуальной среде.

Виртуальный рабочий стол

Кроме виртуального запуска отдельных программ, CIS имеет дополнительную оболочку Виртуальный рабочий стол. Эта оболочка предназначена для запуска/установки сомнительных программ и посещения сомнительных сайтов без причинения вреда реальной системе. Программы, запускаемые в этой оболочке, выполняются в виртуальной среде, соответственно, вносимые ими изменения виртуальны и уничтожаются после очистки Контейнера, а чтобы сохранить файлы с результатом работы таких программ, понадобится поместить эти файлы в область общего доступа.

На мой взгляд, в отношениии безопасности «Виртуальный рабочий стол» не имеет преимуществ перед обычным виртуальным запуском программ через контекстное меню, разве что скрывает реальный рабочий стол от снятия скриншотов. В качестве же полноценного безопасного рабочего стола рекомендую использовать настоящие виртуальные машины.

С другой стороны, «Виртуальный рабочий стол» пригодится при использовании компьютера детьми, чтобы устанавливаемые ими программы не нанесли вреда реальной системе. При этом можно запретить переключение в реальную систему, установив пароль на «Виртуальный рабочий стол» (Containment → Настройка Containment), однако пользователю не составит труда обойти этот запрет.

Несмотря на наличие в «Виртуальном рабочем столе» виртуальной клавиатуры, защищающей от перехвата нажатий клавиш, не рекомендую выполнять в в этой среде важные операции, наподобие платежных. Для них предназначена совершенно другая среда: Безопасный шоппинг.

Безопасный шоппинг

Общие сведения

Помимо виртуальной среды, предназначенной для запуска сомнительных программ и защищающей от них реальную систему, CIS имеет среду Безопасный шоппинг, которая, наоборот, защищает запущенные в ней программы от воздействий и наблюдения из внешней среды. Основное назначение Безопасного шоппинга — защита платежных операций в интернет-браузере, но также он пригоден для защищенной работы других важных приложений: почтовых клиентов, менеджеров паролей и т.д. Защита включает следующие меры:

• Программам, которые выполняются вне среды «Безопасного шоппинга», запрещено изменять или читать память программ, запущенных в этой среде.
• Данные, скопированные в буфер обмена в среде «Безопасного шоппинга», запрещается извлекать во внешней среде. Т.е. можно пользоваться буфером обмена между приложениями, запущенными в «Безопасном шоппинге», можно копировать данные в эту среду из внешней, но не наоборот.
• Запрещается следить за нажатиями клавиш в окнах, которые открыты в среде «Безопасного шоппинга».
• Запрещается делать скриншоты окон, открытых в среде «Безопасного шоппинга».
• При подозрении удаленного доступа к компьютеру выдаются оповещения.
• При открытии интернет-сайтов игнорируются данные файла hosts, которые могли быть внесены вредоносным ПО.
• Для предотвращения MITM-атак обнаруживаются ложные SSL-сертификаты.

Если какая-либо программа работает в среде «Безопасного шоппинга», то и ее дочерние процессы запускаются в этой среде, за некоторыми исключениями. Отмечу, что эта среда не виртуализирует работу запущенных в ней программ: они вносят изменения в реальную систему.

Использование «Безопасного шоппинга»

Попасть в среду «Безопасного шоппинга» можно через главное окно CIS: Задачи → Общие задачи. Собственно «Безопасный шоппинг» выглядит как отдельный рабочий стол, панель задач которого содержит ярлыки для запуска браузера и проводника.

Чтобы запустить в среде «Безопасного шоппинга», помимо браузера, произвольную программу, следует открыть проводник и перейти к ней, или к ее ярлыку, или к ассоциированному с ней файлу. Например, в среде «Безопасного шоппинга» можно запустить менеджер паролей KeePass, чтобы подставлять пароли в защищенный браузер. При этом программам, выполняющимся вне защищенной среды, будет запрещено читать память KeePass'а и перехватывать подставляемые пароли.

К сожалению, «Безопасный шоппинг» блокирует автонабор, выполняемый KeePass'ом, принимая его за попытку удаленного доступа. Однако остается возможность подставлять пароли перетаскиванием их из KeePass'а в браузер или копированием в буфер обмена. Повторю, что содержимое буфера обмена скрывается от программ, работающих вне среды «Безопасного шоппинга».

Другой способ перехода в среду «Безопасного шоппинга» — через оповещения. Если в обычной среде открыть определенный сайт, появится оповещение, предлагающее открыть этот сайт в защищенной среде. Список таких сайтов задается в настройке CIS на вкладке «Безопасный шоппинг».

Существует также возможность запускать программы в защищенной среде без переключения на отдельный рабочий стол: если в оповещении выбрать не «Безопасный шоппинг», а Безопасный браузер, то браузер откроется в обычном рабочем столе. При этом браузер будет иметь голубую рамку и, согласно официальному руководству, к нему будут применены те же защитные меры, что и при «Безопасном шоппинге», за исключением того, что «полная» изоляция процесса будет заменена «частичной». Если таким браузером запускать различные приложения (например, используя меню Файл → Открыть...), то, как правило, они запустятся тоже в защищенной среде, с голубой рамкой вокруг окна. Однако, в отличие от «Безопасного шоппинга», проводник запустится в обычной среде.

Контроль рейтинга программ в среде «Безопасного шоппинга»

Если программа выполняется в среде «Безопасного шоппинга», в т.ч. как «Безопасный браузер», то в списке акивных процессов (Главное окно → Задачи → Задачи Containment → Активные процессы) в столбце Ограничение будет указано Безопасный шоппинг.

В противоположность виртуальной среде и «Виртуальному рабочему столу», в среде «Безопасного шоппинга» может пресекаться запуск неопознанных программ, в зависимости от настройки проактивной защиты. Если HIPS включен в «Безопасном режиме» и имеет правила наподобие предустановленных в конфигурации «Proactive Security», то запуск неопознанного файла в среде «Безопасного шоппинга» будет предотвращен оповещением. Если при этом будет использоваться именно рабочий стол «Безопасного шоппинга» (в отличие от «Безопасного браузера»), то оповещение будет недоступно: понадобится переключиться на обычный рабочий стол, чтобы ответить на него.

Если запуск неопознанных программ контролируется посредством Auto-Containment с автоматическим их запуском в виртуальной среде, то неопознанная программа, запущенная из среды «Безопасного шоппинга», запустится виртуально. Однако, несмотря на выполнение в виртуальной среде, у нее будут особые права, в частности, на чтение памяти процессов, выполняющихся в среде «Безопасного шоппинга».

Таким образом, «Безопасный шоппинг» эффективнее, если настроить проактивную защиту на предотвращение запуска неопознанных программ: заменить в правилах Auto-Containment их виртуализацию блокировкой или включить HIPS в «Безопасном режиме» с показом оповещений.

Некоторые проблемы «Безопасного шоппинга»

Среда «Безопасного шоппинга» или «Безопасного браузера» защищает, в основном, запущенные в ней программы от воздействия программ, выполняющихся вне этой среды. Таким образом, не рекомендую полагаться на эту защиту, если сам браузер заражен, имеет вредоносные расширения или вместе с браузером запускается другая зараженная программа. Впрочем, при должной настройке HIPS пресекает работу вредоносных приложений (но, увы, не вредоносных модулей).

Согласно тестированию лаборатории AVLab, «Безопасный шоппинг» не защищает от подмены кода посещаемых HTTP-сайтов, от перенаправлений с HTTPS-сайтов и от некоторых других атак.

Кроме того, «Безопасный шоппинг» угрожает некоторыми конфликтами, даже когда он лишь установлен и не используется. В частности, наблюдались проблемы с песочницей Sandboxie: она не очищалась после запуска в ней браузера Firefox, а запуск Google Chrome вообще приводил к BSOD'у. Эти и некоторые другие конфликты устраняются настройкой песочницы Sandboxie: следует в разделе Доступ к ресурсам → Доступ к файлам → Блокировать доступ выбрать пункт Все программы и добавить строки:

• *\cssguard64.dll
• *\cssguard32.dll
• *\iseguard32.dll
• *\iseguard64.dll
• *\guard32.dll
• *\guard64.dll
• *\cmdshim32.dll
• *\cmdshim64.dll