Microsoft on pyrkinyt jo pitkään tekemään Windowsin tietoturvasta parempaa ja käytöstä turvallisempaa mitä erilaisimmin keinoin. Yksi UWP:n (Universal Windows Platform) pääajatuksista on ohjelmien ajaminen omissa hiekkalaatikoissaan rajatuin oikeuksin, mikä edistää tietoturvaa merkittävästi. UWP:n käyttöönotto on kuitenkin kangerrellut useista eri syistä ja nyt Microsoft on tuomassa uutta hiekkalaatikkoympäristöä, jossa voi ajaa myös Win32-sovelluksia.
Windows Sandbox on nimensämukaisesti hiekkalaatikkoympäristössä pyörivä Windows-työpöytä. Hiekkalaatikon kerrotaan olevan erittäin kevyt eikä se esimerkiksi vaadi erillistä VHD:tä (Virtual HardDisk) tai muuta vastaavaa, vaan kaikki tarvittava tulee suoraan Windows 10 Pro- ja Enterprise-versioiden mukana. Se on kehitetty pilvipalvelimia varten kehitettyä Windows Container -teknologiaa hyödyntäen.
Windows Sandbox tarjoaa joka ajokerralla turvallisen hiekkalaatikon, jossa voi asentaa ohjelmia ilman pelkoa, että ne vaikuttaisivat varsinaiseen Windows-asennukseen. Kun sessio suljetaan, katoavat myös kaikki tiedot. Hiekkalaatikko hyödyntää rautatason virtualisointia ja Microsoft Hypervisorin ajaamaa erillistä kerneliä, joka pitää hiekkalaatikkotyöpöydän täysin erillään isäntäkäyttöjärjestelmästä. Näytönohjain on virtuaalinen, mutta Microsoft ei tarkentanut tarkoitetaanko tällä varsinaisesti tietokoneeseen asennetun näytönohjaimen virtualisointia, vai emuloitua näytönohjainta.
Windows Sandbox on saatavilla Windows 10 Pro- ja Enterprise -versioissa koontiversiosta 18305 lähtien, joten sen voidaan olettaa tulevan yleiseen jakoon kevään Windows 10 -päivityksen mukana. Ainakin tällä hetkellä se on otettava käyttöön manuaalisesti Windows Features -työkalun kautta. Ominaisuus vaatii tietokoneelta AMD64-tuen, eli käytännössä minkä tahansa 64-bittisen x86-prosessorin, sekä tuen virtualisointitekniikalle (VT-x, AMD-v).
Voit lukea lisää ominaisuuden teknisestä toteutuksesta Microsoftin blogista.
Ihan hyvä ominaisuus, itsellä on ollut VirtualBoxissa windows Xp että pääsee pelaamaan Space Cadet Pinball-peliä
Kuten muualla internetissä on huomautettu niin on kyllä outoa, että tietoturvatoiminnot ja tietojen suojaustoiminnot eivät ole samat Windowsin eri versioissa. Tietoturvan kannalta olisi hyvä, että esim. BitLocker ja tämä löytyisivät kaikista Windows 10:n eri versioista.
Jep Microsftin logiikan mukaan Tietoturva on Maksullinen Lisäominaisuus.
Tuo lienee kevyempi tapa ajella selaimia, ilman, että ne tunkevat keksiroskaa koneen täyteen.. Ainankin tiedot häviää, kun istunto vaihtuu..
Loistavaa, aina välillä tulee tarve ajella epäilyttävää softaa, tähänasti sandboxie käytössä mutta toki suoraan käyttöjärjestelmään integroitu on aina parempi.
Olisivat saaneet suoraan tehdä tämän normiohjelmillakin toimivan hiekkalootan jo aiemmin ilman UWP:n pakottamista.
Tosin Home versiosta puuttuminen tulee olemaan rasite.
Olisi muuten merkittävä tietoturvatekijä kunhan vain tiedotettaisiin taviksille.
Ei tämä kuitenkaan mikään läpihuutojuttu tainnut olla, kun toteutukseen tarvittiin 2016 esiteltyä pilvipalvelimiin kehitettyä systeemiä.
Also boldattuun liittyen, jos ei lasketa pelipuolen ongelmia alussa, mitä pahaa UWP:n "pakottamisessa" on? Se on selvästi tietoturvallisempi kuin Win32 eikä (pelien ulkopuolelta) tule mieleen mitään mikä olisi huonommin kuin Win32:lla, paremmin paljonkin.
Jotenkin epäilen enemmän, kuin vähän, että UWP:n kanssa saadaan taas hukattua suorituskykyä ja se kun on akullisissa laitteissa aina paska homma..
En ole nähnyt mitään merkkejä tuollaisesta, sen sijaan päinvastaista tulosta kyllä löytyy
![[IMG]](http://i.imgur.com/tqDRC2Y.png)
VLC:n UWP-version kehittäjän vertailu:
Mitenkähän suuri osa VLC UWP:stä on itse UWP:n sisällä? Paljonko se vie sitä kautta muistia ja prossua?
Minkä ihmeen "itse UWP:n"?
Siellä on oltava jonkinlainen virtuaalikone, joka niitä ohjelmia pyörittää. Siihen varmasti kuuluu kaikenlaista kuvankäsittelyä ym. Mitä enemmän kuluu sinne, sitä vähemmän niitä tarvitsee olla ohjelmaan sisäänrakennettuna. Sitä en tiedä, ilmoittaako taskmanageri siellä kuluneen ajan ohjelmaan kuuluneena vai jonain muuna.
Ei sen kummempaa kuin Win32:lla, ihan Windowsin päällä ne kummatkin pyörivät.
Pakostihan siellä pitää olla kummempaa, kun se pyörittää epästandardimpaa koodia. Voi olla mielenkiintoisia tietoturvareikiä noinkin mutkikkaassa, uudessa virityksessä..
VLC:hän on aivan umpipaska suorituskyvyn suhteen, jotakuinkin markkinoiden paskin videoplayeri. Ero voi tulla kokonaan siitä, että minkä verran gpu-kiihdytystä on käytössä purkukodekilla.
Jahas vai niin. Ei tulisi mieleenikään käyttää muuta kuin VLC. Kokeiltu on. Pyörii hyvin myös vanhemmalla raudalla dual core Athlon ja antiikkinen gpu. VLC:ssä on aika paljon confattavaa kyllä ja kokemuksieni mukaan sitä kannattaa ajaa OpenGL tilassa. Hienosti rendaa myös subtitlet ja kaikki videon säädöt löytyy alkaen ehdottoman välttämättömästä Sharpen filtteristä, jota ilman en suostuisi katsomaan mitään.
Sama täällä. Pyörii ikiwanhassa winkkaläppärissä kuin tyhjää vain… Paljon muu siinä ei selaimen lisäksi enää pyörikkään…
Millä tapaa epästandardimpaa koodia? Ihan samoilla normaaleilla kielillä, työkaluilla ja kääntäjillä niitä tehdään. Miksi uusi, nimenomaan tähän tarkoitukseen rakennettu ei voisi olla yksinkertaisesti parempi kuin iänkaikkisen vanha Win32? UWP tukee C++, C#, VB.NET ja XAML kieliä
@zepi voi olla kuraa Win32 VLC:n suorituskyky, ei käryä, mutta kai sekin nyt herran tähden tukee rautapurkua koko mediaketjulle? Jos ei niin se selittää paljon, mutta UWP:lla se ainakin ilmeisesti onnistuu ja käyttää kehittäjän mukaan ihan samoja ohjelmointirajapintoja kuin muutkin VLC-versiot. (Do UWP apps use less battery : Windows10)
Mites toi eroaa yksityisestä selauksesta, mikä löytyy joka selaimesta nykyisin? Ei niistäkään istunnoista jää koneelle roskia ellei niitä lataamalla lataa.
Siten että se selain ei pyöri "samassa" käyttöjärjestelmässä kun yksityisessä selaustilassa oleva selain. Eli jos ja kun joku wintendo mato/virus/transomware pääsee läpi niin tuossa sandboxissa se saastuttaa vain sen sanbxosin virtuaali windowssin joka ainakin toivottavasti on one-time-use snapshot. Kun taas yksityistilassa selatessa saastuu koko kone.
Juuh, mutta tuo ei liittynyt siihen kun puhuttiin evästeitten jäämiseen istunnosta….
Huomannut saman jutun. Tällä hetkellä TV:ssä on kiinni joku vm2015 Atom tikkuPC. VLC ei rautapurun avullakaan jaksa purkaa h264 pakattua 1080p materiaalia jos bitrate on kova. MPC-HC jaksaa ongelmitta. Molempien käyttämä kodekki käyttää GPU:ta rautapurkuun, mutta VLC:n kodekki vaan on helvetin huono/tehoton ja vaatii resursseja paljon enemmän. Kivana puolena VLC kyllä saa about minkä tahansa roskan auki.
No nyt on taas sen luokan provoilua että oksat pois :facepalm:
Se, että ammattilais- ja yrityskäyttöön tarkoitetuissa versioissa on joitain tietoturvaan liittyviä lisäominaisuuksia ei tarkoita että "Tietoturva on maksullinen lisäominaisuus"
Itse käyttöjärjestelmä on ihan yhtä turvallinen myös Home-versiona.
Ilman bitlockeria kuka vaan voi ottaa kiintolevysi fyysisesti ulos sieltä läppäristäsi jonka varastaa sinulta ja pystyy lukemaan sen sisällön toisessa tietokoneessa.
Jos käytössä on enterprise versio ja bitlocker on päällä, niin sama ei onnistu.
Miten nuo ovat "yhtä turvallisia" vai lasketko käyttöjärjestelmän ominaisuutena olevan levyn kryptauksen kuuluvan johonkin muuhun kuin käyttöjärjestelmään?
Maksullinen tietoturvaominaisuus kuvaa minusta tilannetta täydellisesti.
Minusta on aika normaalia, että lisäominaisuuksista maksetaan lisähintaa, joskaan kaikki valmistajat eivät sitä tee. Apple tarjoaa FireVault levykryptauksen vakiona MacOS:ssä.
Normaali ihminen ei tarvitse kovalevyn kryptausta. Ja jos kovalevyn cryptausta tarvii niin en kyllä käyttäisi bitlockeria siihen vaan jotain avoimen lähdekoodin sovellusta. Minusta microsofti on ihan reilusti jakanut käyttisten eriversion ominaisuudet. Jos tarvit lisää niin osta pro. Keskiverto käyttäjä käyttää tyytyväisenä homea
Riippuu kai miten asiat näkee, mutta toisaalta sopivalla näkökulmalla päästään pisteeseen jossa voidaan todeta että kaikki paitsi yksi versio on vain rahastusta ja kaikissa pitäisi olla kaikki samat ominaisuudet.
Itse näen esimerkiksi tuon Bitlockerin vaikka onkin integroitu käyttikseen nimenomaan lisäominaisuutena enkä osana varsinaisen käyttöjärjestelmän tietoturvaa. Microsoft ei kuitenkaan rajoita vaikka Pro-versiota yritysasiakkaille tms, joten jos käyttäjä kokee tarvitsevansa sen tuomaa lisäsuojaa, se mahdollisuus on olemassa, mutta suurin osa ei sitä ikinä tule tarvitsemaan tai käyttämään oli se mukana tai ei.
Ja pointti oli "tietoturva on maksullinen lisäominaisuus", ei "pari tietoturvaa lisäävää juttua ovat maksullisia lisäominaisuuksia"
Kaikki "tarvitsevat" bitlockeria. Segmentointi vaan tekee siitä aika kalliin tavalliselle tallaajalle.
En sinänsä vastusta ominaisuuksista laskuttamista, mutta fakta kyllä on se, levykryptauksen laittaminen lisämaksulliseksi vähentää ihan konkreettisesti tietoturvaa, kun ihmiset tallentelevat salasanojaan työpöydälle salasanat.txt tiedostoihin jne. jolloin olisi ihan hyvä jos levyä ei saisi luettue ihan vaan usb-tikulta buuttaamalla.
Käytännössä vaikutukset ovat tietty vähäisiä, harvan kotikäyttäjän koneeseen hyökätään ikinä tuollaisella fyysisellä hyökkäyksellä ja oikeasti kyseessä onkin vaan MS:n tapa kannustaa yritysasiakkaita (joilla yleensä on joku tietoturvavastaava miettimässä näitä asioita) ostamaan nuo kalliimmat lisenssit sen sijaan, että siellä käytettäisiin home-windowsseja joita tulee kuluttajaläppäreissä mukana.
Niin, tarvitsevat ja "tarvitsevat", siinä on iso ero. Kuten itsekin totesit, kotikäyttäjät eivät käytännössä tule ikinä tuollaista tarvitsemaan kuin jossain ehdottomissa poikkeustilanteissa (kuten se että joku nyt tulee ja rosvoaa sen koneen fyysisesti)
Niin, no esim. läppärin eteenpäin myydessä on ihan kätevää, että levy on kryptattu. Silloin sitä ei tarvitse kirjoittaa nollilla täyteen, vaan pelkkä quick-format / käyttöjärjestelmän uudelleenasennus riittää siihen, ettei tuleva käyttäjä pysty lukemaan levyltä sitä salasanat.txt:tä jossa ne plaintext-salasanat ovat valmiina.
Käytännössä levykryptaus suojelee käyttäjää näiltä tahattomilta osaamisesta ja ymmärtämättömyydestä johtuvista tietoturvauhista, jotka eivät käytännössä varmasti kovin usein toteudu, mutta jotka ovat minusta periaatteeellisella tasolla aika ikäviä.
Vähän kuin sanoisi, että HTTPS yleensä on turha, koska tavallisella käyttäjällä ei ole mitään syytä suojata nettiliikennettä ulkopuolisilta katseilta ja ei sitä kukaan kuitenkaan urki.
Itse näkisin että nettiyhteyden salaus on huomattavasti merkittävämpi tietoturva-asia peruskäyttäjille kuin se skenaario että joku pöllii koneen / vanhan läppärin ostanut lähtee arpomaan josko sieltä löytyisi jotain arkaluontoista formatoinnin jäljiltä
Tokihan se kiva olisi että kaikille olisi tarjolla kaikki tietoturvaa parantavat ominaisuudet, mutta väittäisin että suurelle osalle se bitlocker tai muu vastaava saattaisi koitua todennäköisemmin ongelmaksi kuin hyödyksi, kun se salasana joka pistettiin tosi varmaan paikkaan on hukassa ja unohtunut kun meni joku bitti koneelta solmuun.
Harvassa kuluttajakoneessa on edes tpm-piiriä.
Olen kyllä sitä mieltä että encrypt everything. Ei tarvitse miettiä mitä sinne koneelle oli tallennettuna jos sen joku varastaa. (Harvoin tosin asunto/omakotitalo murroissa ne paskat atk:t kiinnostaa, ei ne meiltäkään mennyt mutta korut ja muut meni).
Itse ainakin tykkään että ei tarvitse miettiä mitä sinne koneelle ehkä voi tallentaa tai ei voi.. Sitten kun mennään tumpleloihin niinkuin esim semi seniili faija, niin paree vaan olla salattuna. Jopa lukitut datat pienempi paha kuin varastetut datat.
Siellä ei kuitenkaan tarvitse olla mitään visakortin numeroita, pinkoodeja, pankkitunnuksia että niillä voidaan tehdä kiusaa. Riittää että spostiin tulee sopivasti henkilötietoja niin hyvin äkkiä saat ihmetellä kun joku on vähän tilaillut romua netistä sun tiedoilla.. jaa sitten vituttaakin ihan huolella.
Saati sitten jos tekee kuten tuo semiseniili faijani, eli tallentelee kaikkien verkkopalveluiden salasanat selaimeen niin kiusantekoa ja petoksia on ihan triviaalia harrastella.
Ei ole vaatimus levyn salaamiselle. Taisi onnistua jopa Bitlockerillakin.. tosin vaatinee joko jonkun USB tikun avaimelle tai käsin salasanan taputtelua. En ole varma, en luota bitlockkeriin joten en käytä sitä.
Jos Bitloker olisi vakio-ominaisuus, niin kuluneen vuoden aikana olisi pitänyt vähintään 4:lle tyypille todeta: Juu, sinne ne tietosi menivät. Todennäköisesti useammallekkin.
On oikein hyvä, käyttäjien kannalta, että tuollainen ominaisuus on vakiona poispäältä.
Ja hyvin monelle ei tuolle ole oikeastikaan mitään käyttöä.
SSD levyn kanssa tuo salasanat.txt casekin alkaa olla senverran epätodennäköinen, että ei niitä toinna edes tutkia, sen jälkeen, kun levy on "tyhjennetty", eli tiedostot on merkitty vapaaksi riistaksi ja kätyttis asennettu uudestaan / palautettu ja päivitykset asennettu.
SSD:t tahtovat korruptoida poistetun datan harmillisen nopeasti.
Ei tietenkään ole mutta se helpottaa elämää ihan helkkaristi noihin muihin vaihtoehtoihin nähden.
Tämä. Monille tuttavien ja omillekin koneille asenneltu Windowsia uusiksi kun alkuperäinen asennus käynnistyskelvottomassa kunnossa ja silloin on todella hyvä kun voi ottaa talteen tiedostot vanhalta levyltä vaikka USB-linuxin avulla. Windowsin salasanat ovat ihan riittävä suojauskeino useimmille ihmisille, jos ei nyt sitä asuntomurtoa tai tietotaitoisen varkaan mahdollisuutta huomioida.
Levykryptaushan ei mitenkään estä tuota. Pitää vain tietä se salasana jolla kryptaus aukeaa.
MacOS filevaultin salasanan jos unohtaa niin kolmen väärän yrityksen jälkeen tulee seuraava mahdollisuus kirjautumisikkunaan.
”If you forgot your password, you can reset it using your Apple ID”
Eli kone boottaa tilaan ”Reset Password”, jossa pyytää Apple ID, salasanaa, verification code. Nuo kun tiedossa niin voi vaihtaa salasanan.
Uskoisin, että windowssissakin mahdollisesti samanlainen juttu. En ole varma.
Itse käytän kaikissa koneissa kryptausta mikäli mahdollista. Pari vanhaa qnap ja synology nassia on käytössä ja noissa ei ole kryptausta. Uusissa Freenas purkeissa sitten on käytössä.
Yleensä, kun tulee läjä badejä hakemistorakenteeseen, niin kryptattu data on käytännössä menetettyä tai palauttaminen on vähintään mielettömän tyyristä, kun vakiotyökalusita ei ole mitään apuja. Ja monesti ongelmana on se, että salasana on unohtunut ja mikrosoft tilistä kun käy puhumaan, niin vielä useammin kommentti on: Ai mikä se on, ei minulla ole mitään sellaista, enkä ole kuullut moisesta?
Mitä taas salasanoihin tulee, niin ne saa aina selville pyytämällä peruskäyttäjää asentamaan asian X siihen koneelle. Jos viruskilleri ei hyppää silmille, niin se sen siihen asentaa ja salasanat siirtyvät niitä haluavalle.
Viruskillerit taas on näköjään helppo väistää..
Kyllähän sitä aina luuli että vlc on paras, mutta nyt sitten tänä vuonna ostin ensimmäisen blu ray levyn, ja eihän se toiminutkaan. Oli aivan todella hankala saada toimimaan. Myös dvd puolella oli ongelmia.
Lisäksi vlc lähettää kaikki tiedot eteenpäin, jos niitä ei osaa asetuksista oikein valita.
Löysin sitten power dvd ohjelman, jolla on kyllä toiminut kaikki hyvin.
Ja jos peruskäyttäjällä ei ole mitään tärkeää koneella, niin ei bitlockeria kyllä tarvitse käyttää.
Home-versioissa oikein tiedotettuna tämä olisi varmaan vähintään yhtä hyödyllinen tietoturvaominaisuus kuin kalliimmissa versioissa.
OT: XP:stä kaivettu Space Cadet toimii ihan nätisti ainakin Linuxilla Winen kanssa. Uusilla Windowseilla en ole kokeillut. Tai sitten voi etsiä jostain alkuperäisen Full Tilt Pinballin. :smoke:
Ihannetilanteessahan sen saisi sellaiseksi että nettiselaimella ladattu/siinä käynnistettävä ohjelmatiedosto suoritettaisiin oletuksena sandboxattuna, ellei käyttäjä erikseen valitsisi suojaamatonta suoritusta…
Jonka osalta lukisi selvästi, että jos tiedosto ei ole taatusti luotettava, sen suorittaminen siinä voi vaarantaa koneen toiminnan.
Vaikuttaa ihan kätevältä, harmi ett ei oo windows 10 pro
Ja sitten todellisuuden puolella ihmetellään mihin ne kaikki ohjelmat katosi kun justiinsa asensin ihan varmasti
Olisi hyvä, että noitten käyttöjärjestelmien kauppapaikat tulisi oikeasti suureen käyttöön. Estyisi joillakin tasolla se, ettei softaa imuroida mistä tahansa. Tietoturva paranisi huomattavasti.
Linux jakeluissa tuo pelaa hyvin.
Toisaalta sellaisille jotka eivät älyä erillisen sovellus-sandboxin merkitystä vaikka se selvästi kerrottaisiinkin, tuskin on kovin hyväksi olla koneelle muuta kuin oikeuksiltaan rajoitettu käyttäjätunnus…
Näkökulmia, mielipiteitä kuten eräs sukulainen katsoo ettei ovea tarvitse lukita. Oma valintansa, kuten minunkin valinta pitää ovi lukossa, datat salattuna ja ase makuuhuoneessa. =)
No jos mennään taas vaihteeksi ajassa reilusti eteenpäin, niin silloin ehdottomasti pitää olla kaikki encryptattuna. Jos esim. tulevaisuudessa itse olisi osittain robotti ja muutkin olisivat, niin kyllä ne tiedot olisi hyvä pitää salattuna.