Задать вопрос

Чего достаточно чтобы организовать песочницу в Windows?

Стоит задача: запускать на серваке потенциально абсолютно любые программы по расписанию (ака безумный кролик). на самом деле билды, но в реалиях всегда найдутся упыри, загрузившие вирус или еще что в целях образования сис админа. Так вот вопрос: что можно сделать чтобы обезопаситься? Программно, используя API разных подсистем Windows.

Что есть сейчас:
— Создание под запуск программы аккаунта Винды
— Настройка аккаунта: для всех дисков начиная от корня нельзя делать ничего. Для отдельной, выделенной папки можно делать все
— Включение квоты жесткого диска на 20 мегабайт (должно хватить всем (С))

Т.е. по сути предыдущие пункты — обезопасились от переполнения ЖД и доступа в несанкционированные места. Что путает — могут создать бесконечный цикл на чтение и повесить систему.

Далее — память:
— Включение квоты на оперативную память и файл подкачки — 20 мегабайт. (чтобы не навыделяли и не повесили систему)

— Запрет на использование объектов ядра чужих процессов (чтобы не лазили в чужую память)
— Запрет на отключение питания и разлогинирование (ну… понятно для чего)

Что еще можно сделать?
  • Вопрос задан
  • 2616 просмотров
Подписаться 4 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
Я бы запускал виртуалки в hyper-v, vmware, virtualbox.
в случае ESXI /hyper-v core mode влезть в гипервизор вообще не получится.
Опять же, в случае чего — откат на снапшот где чистенькая/готовенькая система за вменяемое время — и игры с новыми билдами.
Ответ написан
FullZero
@FullZero
А что-нибудь типа этого не подойдет?
Ответ написан
polym0rph
@polym0rph
Основатель Bits.media
Виртуалки или откаты бэкапами / теневыми копиями к заведомо чистому состоянию. Руками все проверять нецелесообразно.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы