一直以来我们都希望为 windows 系统中的软件创造一个隔离环境:从系统安全的角度出发,我们可以将软件的权利限制在一个隔离的空间当中,避免其对主系统运行造成影响;另一方面,创造隔离环境还可以实现一些新的功能特性,比如「双开」某些软件,或者是打造安全的上网环境临时提供给其它成员使用等。
因此最为合适的解决方案显然就是「沙盒」了。微软曾在 2019 年 5 月更新中加入了原生的沙盒功能,但这个系统沙盒「用后即焚」,关闭后也无法保存数据以供下次使用,每次启动都必须重新安装;同时它本质上也采用了虚拟化技术,因此对系统版本〔需要专业版/企业版 Windows 10〕和环境〔需要虚拟化支持〕也有要求。
所以如果你需要一个性能开销小、更加简单易用的 Windows 隔离方案,最近刚刚宣布转为免费软件的老牌沙盒软件 Sandboxie 就值得重新考虑一下了。
为什么选择 Sandboxie
作为老牌的沙盒软件,Sandboxie 相比上文提到的隔离方案有着相当大的优势。
首先 Sandboxie 实现方式无需虚拟化,它的工作原理类似于在真实操作系统的运行层之上新建了一个安全运行区域,因此沙盒内软件的启动和运行速度几乎都与真实系统环境下无异。
其次,Sandboxie 对于系统版本的要求也较为宽松,除了目前主流的 Windows 10 之外,早期的 Windows 8.1、Windows 7 等版本都可以使用。更重要的是 Sandboxie 支持将沙盒中的数据拷贝回真实系统,在 Sandboxie 关闭或重启后,下一次依然可以继续使用此前的环境和数据,无需反复配置。
Sandboxie 的基本运行原理
和很多安全软件相同,安装 Sandboxie 时软件会提示将在系统中安装驱动组件等,并且在第一次启动时通过引导页再次说明软件的实现原理以及一些基础的使用方法。
安装完成 Sandboxie 之后,真实系统的桌面上便会出现「使用 Sandboxie 打开默认浏览器」的快捷方式,双击这个快捷方式就会直接在沙盒中启动网页浏览器。
整个在沙盒上使用网页浏览器其实和真实系统中使用基本没有什么差别,因为并非是基于虚拟机所以几乎看不到卡顿和延迟,唯一的区别是只有当鼠标移动到沙盒中运行的软件的窗口边缘时才会出现——沙盒中运行的浏览器在窗口边缘会出现黄色的边框。当然为了出现可能的误操作,还可以在 Sandboxie 的设置中让黄色边框一直显示。
默认安装完成之后会生成一个默认沙盒,当然你也可以根据需要〔比如针对软件类型设置不同〕新建沙盒,并且这些沙盒环境均可以独立运行,并不会和真实系统冲突,当然我们使用沙盒最重要的当然是运行软件,在 Sandboxie 运行软件大致有这么两种方式:
首先最为直接的方式就是直接在真实系统中,通过右键菜单的形式运行在沙盒中,如果设置多个沙盒还可以进行选择。
另外一种方式则需要回到 Sandboxie 控制器中,每一个沙盒环境都映射了完整的系统环境,包括资源管理器,文件目录以及开始菜单等。点击希望运行软件的沙盒,在右键选择-在沙盒中运行:之后会出现多个选项,比如运行系统默认的浏览器、邮件客户端,或者是从开始菜单、资源管理器或者是手动选择软件。
另一方面,在沙盒中下载或者保存文件等操作则与真实的系统无关。比如说你在沙盒中通过浏览器下载了一个文件,看上去文件被下载到了 Download 目录中,但你在真实系统中通过资源管理器是看不到下载文件的。当然 Sandboxie 可以通过取回的方式将文件转移到真实系统对应的文件夹中。
这也有效地限制了一些软件后台下载行为——下载的文件数据只有经过我们的认可和需要才能被拷贝到真实系统目录当中。
默认情况下,每一个沙盒中的软件数据等都会被保存在沙盒中,但由于其行为被严格被限制,因此里面运行的软件配置等都不会对真实的系统产生影响,我们在运行完软件之后可以通过终止软件的形式清空沙盒中所有软件进程,而如果不再需要某个沙盒也可以通过删除沙盒来实现。
Sandboxie 教程
前面大致介绍了 Sandboxie 的原理和使用方法,那么 Sandboxie 适用于哪些使用场景呢?
使用 Sandboxie 打造纯净浏览环境
这个场景其实主要是针对家中对电脑技术并不精通的老人,相信不少朋友都有过给家中长辈清理各种流氓软件的经验,而归根到底都是他们在不知情的情况下载安装来路不明的软件结果,因此 Sandboxie 在真实系统的桌面自动生成的「在沙盒中运行网页浏览器」就非常管用了。
我们甚至还可以进一步对常用应用的图标、名称做一些手脚,比如说将真实系统中桌面上的浏览器快捷方式移除,然后将「在沙盒中运行网页浏览器」改成一个平时使用的浏览器名称,顺便将图标也更换一下,这样神不知鬼不觉地将家中长辈的网页浏览行为限制在一个小小的沙盒中,下载、安装软件等行为都完全被限制在沙盒中,真实系统再也不会被无心装上一大堆流氓软件了。
在 Sandboxie 中安装某某云下载文件
现在百度云对下载的限制越来越多,文件体积稍大就必须通过客户端下载,但桌面客户端往往又会夹带「私货」,因此将其安装在 Sandboxie 这样的沙盒系统中并直接在沙盒中运行最为安全,毕竟我们只需要其下载文件,下载完成后再将下载的文件转到真实系统的文件目录即可。
在真实系统中下载安装包然后使用右键「在沙盒中运行」,之后在沙盒环境中完成安装,这样百度云客户端就只安装在沙盒中了,客户端的运行也必须通过沙盒——通过内置的菜单从「从开始菜单运行」,当然你在真实系统中是看不到这个百度云的安装目录的。
其他使用步骤和正常使用百度云基本无差,唯一的区别是最后需要将下载的文件保存到真实系统目录中。当然也就不用担心软件安装之后出现的驻留系统进程、添加启动项、修改浏览器首页等一系列问题了,因为百度云没有安装在真实的系统中,而仅在沙盒中运行。
使用 Sandboxie 双开应用
因为沙盒属于一种轻量化的软件隔离环境,所以我们根据这个特性突破一些原本系统或者软件的限制,比如说多开或者双开应用,例如打开多个微信 PC 客户端。
在真实的系统中安装好微信 PC 客户端之后,除了在真实系统通过双击直接运行微信之外,还可以在桌面通过「右键菜单」- 「在沙盒中运行」让其运行在沙盒中,如果你有多个微信号需要登录,则可以通过新建多个沙盒环境然后在各个沙盒运行来实现。
结语
Sandboxie 从去年开始逐渐转变成一款免费软件,作为目前 Windows 平台上功能最全面的沙盒工具之一,它低系统资源占用、强系统版本兼容性的优势非常适合用来对付一些喜欢夹带「私货」的软件。它既能避免对真实系统数据和安全性的干扰,又能方便地满足隔离、多开和数据转存等需求。