Windows 10 : InPrivate Desktop va permettre aux administrateurs de lancer un sandbox temporaire
Afin d'y lancer des apps potentiellement dangereuses

Le , par Stéphane le calme

81PARTAGES

15  0 
Microsoft est en train de développer une nouvelle fonctionnalité « Sandbox jetable » appelée « InPrivate Desktop ». Celle-ci pourrait être exclusive aux versions Entreprise de Windows 10 et va permettre aux administrateurs de lancer des exécutables non fiables dans un sandbox sécurisé sans crainte d'apporter des modifications au système d'exploitation ou aux fichiers du système.

On peut comparer ce mode à une machine virtuelle sur laquelle votre application sera exécutée, préservant ainsi la santé de votre système d’exploitation en cas de risque potentiel. Ainsi, si l’application contient un malware, ce dernier ne se répandrait pas au système mais resterait localisé dans la machine virtuelle temporaire. Il serait totalement détruit une fois la session de l’application fermée.

« InPrivate Desktop (Preview) fournit aux administrateurs un moyen de lancer un sandbox jetable pour une exécution sécurisée et ponctuelle de logiciels non fiables. Il s’agit d’une VM intégrée à la boîte qui est recyclée lorsque vous fermez l’application », peut-on lire sur le descriptif ci-dessous.


En dehors d'une description de base, Microsoft a également répertorié les conditions préalables à l'exécution de la fonctionnalité, indiquant qu'elle est destinée à Windows 10 Enterprise à partir de la version 17718. La fonctionnalité nécessitera également au moins 4 Go de RAM, au moins 5 Go d'espace disque libre et au moins deux cœurs de processeur.

Cette nouvelle fonctionnalité pourrait recevoir le nom de code « Madrid », selon les informations présentes dans le document. Windows Defender Advanced Thread Protection était connu sous le nom de code « Seville », tandis que Windows Defender Application Guard avait de son côté eu droit au nom de code « Barcelona. »

InPrivate Desktop semble similaire à ce que propose Windows Defender Application Guard (WDAG). WDAG isole les malware potentiels et autres exploits téléchargés depuis le navigateur afin d’isoler et de contenir la menace. WDAG utilise des processus de sécurité basés sur la virtualisation, en isolant le code potentiellement malveillant au sein d’un container afin d’éviter la propagation de celui-ci sur le réseau d’entreprise.

Microsoft devrait donc introduire cette fonctionnalité dans Windows 10 Enterprise, probablement Windows 10 19H1 dont la sortie est prévue pour l’année prochaine au printemps. Actuellement, en dehors de la petite note issue du Feedback Hub de Microsoft Insider, il n'y a pas de détails sur la fonctionnalité. Microsoft a déjà lancé la première build de Windows 10 19H1 dans le cadre de Skip Ahead Insiders il y a quelques semaines.

Source : BC

Et vous ?

Que pensez-vous d'InPrivate Desktop ?

Voir aussi :

Windows 10 Redstone 5 : la build 17730 est disponible avec des améliorations de l'expérience utilisateur pour les smartphones Android et iOS
Windows 10 : Microsoft présente de nouvelles builds dopées au machine learning pour éviter les redémarrages inopportuns après des mises à jour
Un développeur tiers publie LibreOffice pour Windows 10 sur le Microsoft Store, The Document Foundation s'en dédouane et la firme de Redmond l'éjecte
Microsoft annonce la prise en charge des secondes intercalaires par Windows 10 Redstone 5 et Windows Server 2019
La première mise à jour de l'appli Notepad depuis de nombreuses années, dans la build 17713 de Windows 10 Redstone 5

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 11/08/2018 à 14:29
Dommage que ce ne soit réservé qu'aux versions entreprise.
Avatar de djimtolouma
Futur Membre du Club https://www.developpez.com
Le 12/08/2018 à 22:31
Citation Envoyé par chrtophe Voir le message
Dommage que ce ne soit réservé qu'aux versions entreprise.
Avatar de darklinux
Membre actif https://www.developpez.com
Le 13/08/2018 à 6:21
C 'est une bonne idée , mais il est dommage de la réservé à la version enterprise
Avatar de hepha1970
Membre régulier https://www.developpez.com
Le 13/08/2018 à 11:34
Abonnement mensuel aussi prévu.
Pour ça autant installer Sandboxie, c'est pareil et gratuit.
Voir même installer directement une machine virtuelle.
fournit aux administrateurs un moyen de lancer un sandbox jetable pour une exécution sécurisée et ponctuelle de logiciels non fiables.
Aussi je vois mal un administrateur ayant un minimum de bon sens, tester un logiciel non fiable sur une machine de production couplée à ses autres machines ...
A moins qu'ils songent sandboxer windows lui-même parce que niveau fiabilité, fuites, mouchards.
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 14/08/2018 à 19:07
Pour ça autant installer Sandboxie, c'est pareil et gratuit.
Vu que non fourni en version non pro,, je suis d'accord.
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 19/12/2018 à 14:50
Windows 10 19H1 va embarquer Windows Sandbox, une machine virtuelle légère
permettant aux utilisateurs d'exécuter des logiciels potentiellement suspects de manière isolée

En août, nous vous rapportions que Microsoft était en train de développer une nouvelle fonctionnalité « Sandbox jetable » appelée « InPrivate Desktop ». D’après la description de la fuite, nous avions pensé que cette fonction pourrait être exclusive aux versions Entreprise de Windows 10 et allait permettre aux administrateurs de lancer des exécutables non fiables dans un sandbox sécurisé sans crainte d'apporter des modifications au système d'exploitation ou aux fichiers du système.

On peut comparer ce mode à une machine virtuelle sur laquelle votre application sera exécutée, préservant ainsi la santé de votre système d’exploitation en cas de risque potentiel. Ainsi, si l’application contient un malware, ce dernier ne se répandrait pas au système mais resterait localisé dans la machine virtuelle temporaire. Il serait totalement détruit une fois la session de l’application fermée.

« InPrivate Desktop (Preview) fournit aux administrateurs un moyen de lancer un sandbox jetable pour une exécution sécurisée et ponctuelle de logiciels non fiables. Il s’agit d’une VM intégrée à la boîte qui est recyclée lorsque vous fermez l’application », pouvait-on lire sur le descriptif.

Windows Sandbox

Microsoft a dévoilé une fonctionnalité prévue pour Windows 10 19H1 (version qui sera déployée au début de l'année prochaine) qui a été baptisée Windows Sandbox. Cette fonctionnalité, qui fera partie des éditions Windows 10 Pro et Enterprise, crée « un environnement de bureau temporaire et isolé » où les utilisateurs peuvent exécuter des logiciels potentiellement suspects, ont annoncé des responsables dans un blog le 18 décembre.


Voici les prérequis pour se servir de cette fonctionnalité
  • Windows 10 Pro ou Enterprise build 18305 ou ultérieure
  • Architecture AMD64
  • Fonctions de virtualisation activées dans le BIOS
  • Au moins 4 Go de RAM (8 Go recommandés)
  • Au moins 1 Go d'espace disque disponible (SSD recommandé)
  • Au moins 2 cœurs de processeur (4 cœurs avec hyperthreading recommandés)

L’équipe décrit Windows Sandbox comme un nouvel environnement de bureau léger conçu pour exécuter en toute sécurité des applications isolées.

Citation Envoyé par Microsoft
Combien de fois avez-vous téléchargé un fichier exécutable sans avoir peur de l'exécuter? Avez-vous déjà été dans une situation qui nécessitait une nouvelle installation de Windows, mais vous ne vouliez pas configurer une machine virtuelle ?

Chez Microsoft, nous rencontrons régulièrement ces situations, nous avons donc développé Windows Sandbox: un environnement de bureau temporaire et isolé, dans lequel vous pouvez exécuter des logiciels non fiables sans crainte de conséquences durables pour votre PC. Tout logiciel installé dans le Windows Sandbox reste uniquement dans le Sandbox et ne peut affecter votre hôte. Une fois que Windows Sandbox est fermé, tous les logiciels avec tous leurs fichiers et leur état sont définitivement supprimés.

Windows Sandbox a les propriétés suivantes:
  • Il fait partie de Windows : tout ce qui est requis pour cette fonctionnalité est fourni avec Windows 10 Pro et Enterprise. Pas besoin de télécharger un disque dur virtuel !
  • En parfait état : chaque fois que Windows Sandbox s'exécute, il est aussi propre qu'une nouvelle installation de Windows.
  • Jetable : rien ne persiste sur l'appareil; tout est jeté après la fermeture de l'application
  • Sécurisé : utilise la virtualisation matérielle pour l’isolation du noyau, laquelle repose sur l’hyperviseur de Microsoft pour exécuter un noyau distinct qui isole le bac à sable Windows de l’hôte.
  • Efficace : utilise le planificateur de noyau intégré, la gestion intelligente de la mémoire et le processeur graphique virtuel

Sous le capot de Windows Sandbox

Windows Sandbox s'appuie sur les technologies utilisées dans les conteneurs Windows. Les conteneurs Windows ont été conçus pour s'exécuter dans le cloud. Microsoft a utilisé cette technologie, à laquelle l’entreprise a ajouté une intégration avec Windows 10 et des fonctionnalités qui la rendent plus approprié pour fonctionner sur des périphériques et des ordinateurs portables sans nécessiter toute la puissance de Windows Server.

Parmi les principales améliorations apportées, figurent :

La génération dynamique d’image

À la base, Windows Sandbox est une machine virtuelle légère, de sorte qu’elle a besoin d’une image de système d’exploitation. L'une des améliorations clés apportées à Windows Sandbox est la possibilité d'utiliser une copie de Windows 10 installée sur votre ordinateur, au lieu de télécharger une nouvelle image VHD comme vous le feriez avec une machine virtuelle ordinaire.

Microsoft indique vouloir toujours présenter un environnement propre, mais le problème est que certains fichiers du système d'exploitation peuvent changer. Aussi, la solution choisie par l’éditeur consiste à construire ce qu’il appelle une « image de base dynamique »: une image de système d’exploitation contenant des copies nettes de fichiers pouvant être modifiés, mais des liens vers des fichiers ne pouvant pas être modifiés et figurant dans l’image Windows déjà présente sur l’hôte. La majorité des fichiers sont des liens (fichiers immuables) ce qui est la raison de la petite taille (~ 100 Mo) d’un système d’exploitation complet. Microsoft appelle cette instance « image de base » pour Windows Sandbox, un nom qui lui vient directement du jargon de Windows Container.

Lorsque Windows Sandbox n'est pas installé, l’éditeur conserve l'image de base dynamique dans un package compressé de 25 Mo seulement. Une fois installé, le package de base dynamique occupe environ 100 Mo d’espace disque.


Gestion intelligente de la mémoire

La gestion de la mémoire est un autre domaine dans lequel Microsoft a intégré le noyau Windows. L’hyperviseur de Microsoft permet de diviser une seule machine physique en plusieurs machines virtuelles partageant le même matériel physique. Bien que cette approche fonctionne bien pour les charges de travail de serveur traditionnelles, elle n'est pas aussi bien adaptée à l'exécution de périphériques avec des ressources plus limitées. En effet, Microsoft a conçu Windows Sandbox de manière à ce que l'hôte puisse récupérer la mémoire du bac à sable si nécessaire.

De plus, comme Windows Sandbox exécute fondamentalement la même image de système d'exploitation que l'hôte, Microsoft autorise également Windows Sandbox à utiliser les mêmes pages de mémoire physique que l'hôte pour les fichiers binaires du système d'exploitation via une technologie appelée « direct map ». En d'autres termes, les mêmes pages exécutables de ntdll sont mappées dans le bac à sable comme celles de l'hôte. L’éditeur assure qu’il veille à ce que cela soit fait de manière sécurisée et qu'aucun secret ne soit partagé.


Planificateur intégré de noyau

Avec les machines virtuelles ordinaires, l’hyperviseur de Microsoft contrôle la planification des processeurs virtuels exécutés sur les machines virtuels. Cependant, pour Windows Sandbox, Microsoft se sert d’une nouvelle technologie appelée « planificateur intégré » qui permet à l'hôte de décider du moment où le Sandbox s'exécute.

Pour Windows Sandbox, l’éditeur utilise une stratégie de planification unique qui permet aux processeurs virtuels du sandbox d'être planifiés de la même manière que les threads seraient planifiés pour un processus. Les tâches hautement prioritaires sur l'hôte peuvent anticiper un travail moins important dans le Sandbox. L'avantage d'utiliser le planificateur intégré est que l'hôte gère Windows Sandbox comme un processus plutôt que comme une machine virtuelle, ce qui donne un hôte beaucoup plus réactif, similaire au KVM Linux.

L’objectif ici est de traiter la Sandbox comme une application mais avec les garanties de sécurité d’une machine virtuelle.

Snapshot et clone

Comme indiqué ci-dessus, Windows Sandbox utilise l'hyperviseur de Microsoft. Microsoft utilise essentiellement une autre copie de Windows qui doit être démarrée, ce qui peut prendre un certain temps. Ainsi, plutôt que de payer le coût total du démarrage du système d'exploitation sandbox à chaque démarrage de Windows Sandbox, Microsoft se sert de deux autres technologies; Snapshot et Clone.

Snapshot permet d’amorcer une seule fois le démarrage de l’environnement sandbox et de conserver l’état de la mémoire, du processeur et du périphérique sur le disque. Ensuite, l’éditeur peut restaurer l’environnement sandbox à partir du disque et le mettre en mémoire plutôt que de le démarrer, lorsque l’utilisateur a besoin d’une nouvelle instance de Windows Sandbox. Cela améliore considérablement le temps de démarrage de Windows Sandbox.

Source ! Microsoft

Voir aussi :

Windows 10 October 2018 : Microsoft dit avoir corrigé tous les bogues et les problèmes signalés et propose une nouvelle mise à jour plus stable
Red Hat Enterprise Linux débarque sur Windows 10 via WLinux Enterprise, une distribution payante pour le sous-système Windows pour Linux
Windows 10 : Comment empêcher l'OS de partager des données de votre historique d'activités ? Microsoft donne plus d'informations
Microsoft confirme que les utilisateurs de Windows 10 risque de tester une mise à jour instable lorsqu'ils font la mise à jour manuellement
Windows 10 transmet à Microsoft l'historique d'activités de votre PC une fois connecté, même si vous lui dites de ne pas le faire
Avatar de Capitaine_aizen
Membre régulier https://www.developpez.com
Le 19/12/2018 à 17:16
Est-ce "déconfinable" via Spectre/Meltdown ? (Vrai question)

Ok, c'est clairement plus complexe qu'un cryptoware. Je m'attends donc à ce que sa protège contre une grande gamme de menace "standard".
Avatar de Aurelien.Regat-Barrel
Expert éminent sénior https://www.developpez.com
Le 19/12/2018 à 17:56
Citation Envoyé par Capitaine_aizen Voir le message
Est-ce "déconfinable" via Spectre/Meltdown ? (Vrai question)
Il me semble que Spectre/Meltdown ne permettent "que" de sniffer la mémoire, pas de la modifier. Donc on peut s'en servir pour voler des infos sensibles mais pas corrompre directement la machine.
Avatar de redcurve
Membre confirmé https://www.developpez.com
Le 19/12/2018 à 22:40
Prochaine étape mettre l'ensemble de win32 en boite
Avatar de sergio_is_back
Membre chevronné https://www.developpez.com
Le 20/12/2018 à 8:10
Citation Envoyé par redcurve Voir le message
Prochaine étape mettre l'ensemble de win32 en boite
Sur, comme c'est la seule API de Windows à peu prêt stable vaut mieux que M$ s'en débarrasse rapidement
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web